Instagram이 6월 2일(월), 심각한 보안 취약점을 수정했다고 발표했습니다: Meta 자체 개발 AI 기반 계정 복구 고객 서비스 봇에 근본적인 로직 결함이 존재하여, 공격자는 대상 계정의 사용자 이름만 알면 해당 봇을 유도해 대상 계정에 새 이메일을 추가하고 비밀번호 재설정을 트리거할 수 있었으며, 피해자의 기존 이메일이나 비밀번호를 통한 인증 절차가 전혀 필요하지 않았습니다. 지난 주말, 여러 Reddit 및 X 사용자들이 계정 도용 사실을 잇따라 폭로했으며, 피해자에는 보안 연구원 제인 황(Jane Huang)이 포함되어 있었고, 도용된 계정 중에는 높은 인지도를 가진 목표, 즉 오바마 행정부 시절 백악관 공식 Instagram 계정(2017년 이후 비활성화)과 미국 우주군 최고 원사 존 벤티베냐의 개인 계정도 포함되어 있었습니다.
유출된 공격 데모 영상에 따르면, 공격자는 VPN을 사용해 대상 사용자와 일치하는 지리적 위치를 위장한 후 Meta AI 고객 서비스와 상호작용하여 대상 계정에 새 이메일을 연결하도록 요청했습니다. 봇은 공격자가 입력한 이메일로 직접 인증 코드를 전송했고, 공격자가 이를 다시 입력하면 비밀번호 재설정 페이지에 접근할 수 있었습니다. TechCrunch는 확인 결과, 영상에 제시된 이메일이 실제로 Instagram 플랫폼에서 발송한 인증 코드를 수신했음을 확인했습니다. 이번 취약점은 서버 침해나 데이터베이스 유출과는 관련이 없으며, 근본 원인은 Meta 엔지니어가 AI 고객 서비스에 과도한 작업 권한을 부여하고 계정 작업에 속도 제한을 설정하지 않아 불법·회색 시장 조직이 자동화 스크립트로 대량 작업을 수행할 수 있었기 때문입니다. Google Authenticator 등 TOTP 기반 2단계 인증을 활성화한 계정은 이 취약점의 영향을 받지 않습니다. Instagram 대변인 앤디 스톤은 취약점이 월요일에 수정되었다고 확인했지만, 영향을 받은 계정 규모에 대한 데이터는 공개되지 않았습니다.
蓝点网 | IT之家 | TechCrunch