O agente de suporte de IA da Meta vinculou e-mails de recuperação às contas de quem solicitou, e os SOCs nunca viram um alerta. Um agente autorizado grava um log de transações legítimas, de modo que nada na pilha de detecção é acionado. Os invasores pediram ao bot para fazer a alteração, pegaram o código único enviado e e executei a redefinição de senha404 mídia relatada.
Sem malware, sem credenciais roubadas e sem injeção imediata no sentido que a maioria das equipes de segurança busca. O agente fez exatamente o que Meta o criou para fazer. Isso é o que deveria manter um líder de operações de segurança acordado à noite: a aquisição não quebrou um controle; montou em um que já period confiável.
O que um SOC precisa é de uma maneira de percorrer cada caminho de recuperação através de uma grade de auditoria com sua equipe de construção de IA antes do encerramento da próxima renovação. A AI Authority Audit Grid no last deste artigo mapeia cada gravação de autenticação que um agente de suporte pode fazer no caminho de recuperação, o que o incidente do Meta provou sobre cada uma delas, por que permanece obscuro para o SOC e o controle que o fecha.
O agente é um ator autorizado, então o SOC interpreta a aquisição como tráfego de rotina
De dentro da pilha de detecção, o ataque não produziu nenhum sinal que a pilha pudesse ler. O agente vincula um novo e-mail, redefine a senha e gerenciamento de identidade e acesso registra ambas as gravações como um ator autorizado, de modo que cada uma chega ao estado de autenticação como uma transação legítima. Nenhum login anômalo, nenhum pico de autenticação com falha, nada para EDR ou DLP, nenhuma regra SIEM correspondente, porque nada na sequência parece um ataque. A aquisição ocorreu dentro do limite de confiança que a pilha presume ser segura. Não há ponto de apoio para encontrar, porque o agente period o ponto de apoio e period para estar lá.
A corrente period quase um insulto em sua simplicidade. Brian Krebs documentou o versão hackers pró-Irã postada no Telegram em 31 de maio. O atacante ativou uma VPN para aparecer na região da vítimaevitando os alarmes de localização do Instagram, pediu ao assistente de suporte para adicionar um novo e-mail e enviar um código de verificação, conforme confirmado pela BBC nas mesmas gravações. O bot obedeceu, enviando o código único diretamente para o invasor, Gizmodo relatou. A redefinição foi concluída e o proprietário foi bloqueado em minutos. A exploração falhou em qualquer conta com MFA habilitado, de acordo com Krebs.
As contas sequestradas não eram alvos fáceis. Eles incluíam a Sephora, o líder alistado sênior da Força Espacial dos EUA, sargento-chefe John Bentivegna, a pesquisadora Jane Manchun Wong e um identificador adormecido da Casa Branca de Obama que postou brevemente uma imagem desfigurada, de acordo com 404 Mídia. Meta contesta a conta de Obamade acordo com o TechCrunch, e chamou as alegações de que as contas dos líderes foram violadas como “completamente falsas”, de acordo com a BBC. O resto permanece.
MFA realizado. O caminho de recuperação ao lado dele não.
O detalhe que decidiu quem sobreviveu foi limitado. Krebs relatou que o ataque falhou em qualquer conta com autenticação multifator, até mesmo SMS. O caminho de recuperação ao lado period a lacuna. Quando esse caminho pediu um vídeo de selfie, os invasores exibiram as fotos públicas do alvo por meio de um gerador de vídeo de IA e enviou o clipe, que Meta aceitou como verificação de identidade válida, informou o gHacks. De qualquer forma, a falha foi na porta de recuperação, não nos guardas da porta de login do MFA.
Isso torna isso um problema de arquitetura, não um problema de Meta. O MFA bloqueia o caminho de login tanto para o proprietário quanto para o invasor, mas o caminho de recuperação é executado ao lado dele, criado para relaxar as verificações usuais, porque existe no momento em que um usuário perdeu o caminho regular. Meta colocou um agente nesse caminho com acesso de gravação ao estado de autenticação e nenhuma verificação determinística entre uma solicitação convincente e uma alteração confirmada. A autorização não pode residir dentro do modelo, porque um sistema conversacional pode ser convencido a ignorar uma verificação. Ele tem que viver fora do modelo, em um portão pelo qual o agente não consegue raciocinar para passar. Os pesquisadores de segurança têm um nome para esse padrão, o deputado confuso, um sistema confiável enganado para gastar seus privilégios em nome de um invasor.
Este não é o último agente de suporte que entregará uma conta. Ian Goldin, pesquisador de ameaças do Black Lotus Labs da Lumen, disse a Krebs on Safety que os bots de IA são tão fáceis de engenharia social quanto os agentes humanos que eles substituem, e estão igualmente ansiosos para ajudar. “Os chatbots de IA criam uma nova superfície de ataque interessante e provavelmente veremos muito mais desses tipos de ataques”, disse Goldin. Cada empresa que conecta um agente a um fluxo de recuperação, provisionamento ou senha está enviando o mesmo acesso de gravação que a Meta forneceu.
Simon Willison, que cunhou o termo injeção imediata, colocou-o claramente o blog dele. “A Meta realmente conectou seu sistema de suporte a um chatbot de IA que tinha a capacidade de avançar rapidamente em todo o processo de recuperação de conta”, escreveu ele. “Esta dificilmente se qualifica como uma infecção imediata. Não conecte seu bot de suporte para permitir o controle de contas de uma só vez.” O invasor nunca enganou o agente. O invasor perguntou, e o agente teve entrada não confiável, acesso de gravação e uma forma de execução, tudo de uma vez.
OWASP nomeou esta classe antes de Meta lançá-la, como Agência Excessiva em LLM06 e abuso de identidade e privilégios em ASI03 no Top 10 da Agentic AI. A etiqueta de aviso estava na caixa: Meta empurrou o assistente para todas as contas do Fb e Instagram em março, de acordo com a 404 Media, com o poder de redefinir senhas e lidar com a recuperação, a página do produto prometendo “soluções, não apenas sugestões” sob a linha “segurança e recuperação da conta”. Meta deu o poder ao agente e nunca construiu o portão para governá-lo.
A grade de auditoria de autoridade de IA
Os líderes de operações de segurança precisam executar isso com seu próprio agente de suporte antes do encerramento da próxima renovação. Cada linha é uma gravação de autenticação que o agente faz no caminho de recuperação, com o que o Meta provou, por que sua pilha erra e o controle que o fecha.
|
Gravação de autenticação |
O que Meta provou |
Por que sua pilha perde isso |
Controle e proprietário da empresa |
|
Autenticação de login (MFA, prompts de fator) |
Realizado no login. Contas com qualquer MFA habilitado, até mesmo SMS, sobreviveram (Krebs). A lacuna period o caminho de recuperação ao lado dela. |
O MFA bloqueia o caminho de login tanto para o proprietário quanto para o invasor. Ele não bloqueia o caminho de recuperação ao lado dele. |
Aplique a MFA como linha de base e estenda a verificação progressiva para o caminho de recuperação, o mesmo login padrão obtém (OWASP). Um vídeo de selfie não é prova de identidade. Qualquer agente que opere em um caminho que o MFA não cobre falha na auditoria. Proprietário: IAM. |
|
Religação de e-mail |
Aquisição whole. O agente vinculou e-mails controlados pelo invasor mediante solicitação, obtendo uma conta da Sephora e da Força Espacial dos EUA (404 Mídia). |
O IAM registra o agente como um ator autorizado, de modo que a religação é lida como uma transação legítima e nenhum alerta chega ao SOC ou ao proprietário da conta. |
Confirme o out-of-band para o contato verificado existente antes de qualquer confirmação de religação, fechado fora do modelo, e notifique o endereço antigo no momento em que ele mudar (IBM). Um agente que religa sem confirmar o endereço antigo falha. Proprietário: IAM e engenharia de plataforma. |
|
Redefinição de senha |
Aquisição completa em minutos. A pesquisadora Jane Manchun Wong estava entre as contas afetadas (404 Mídia). |
A redefinição é executada no caminho de recuperação, fora da verificação de MFA de login, portanto, nenhum immediate de fator é acionado e nenhuma regra de detecção é acionada. |
Exija um segundo fator que não seja de e-mail antes que qualquer redefinição seja concluída. O NIST descartou o e-mail como um canal fora de banda válido (NIST800-63B). Uma redefinição de agente deve passar pela mesma porta que uma redefinição humana. Proprietário: IAM. |
|
Mudança no método de recuperação |
Bloqueio persistente. As vítimas não conseguiram se recuperar. O ciclo de suporte ofereceu apenas IA sem escalonamento humano (BipandoComputador). |
Uma troca silenciosa do e-mail ou telefone de recuperação take away o caminho de reentrada do proprietário sem visibilidade do SOC. |
Exigir revisão gradual de qualquer alteração, notificar o método anterior e conceder acesso com escopo reduzido e retardado após a recuperação, para que uma troca nunca entregue o controle instantâneo (Sinal de autenticação). Mantenha um caminho de escalação humano que o agente não possa fechar. Proprietário: GRC e operações de TI. |
|
Execução de ação de conta |
Risco de velocidade. Um identificador adormecido da Casa Branca de Obama mostrou brevemente uma imagem desfigurada durante a farra, uma conta que Meta contesta foi tomada desta forma (TechCrunch). |
O agente executa mudanças de estado irreversíveis em segundos, sem nenhum humano no loop e sem janela de reversibilidade. |
Separar a decisão da execução. O agente apenas propõe a ação. Um serviço de política valida o escopo e a aprovação antes de ser executado, com a aprovação vinculada à ação exata (OWASP). Nenhuma gravação de estado de autenticação é confirmada sem esse portão e uma janela de reversibilidade. Proprietário: engenharia de plataforma e equipe de construção de IA. |
|
Registro de ações do agente |
Lacuna de detecção. A aquisição não deixou alerta e a Meta não publicou quantas contas caíram antes do patch (TechCrunch). |
Sem telemetria por ação canalizada para o SIEM, uma aquisição de agente autorizado é invisível para o SOC. |
Emita metadados de decisão estruturados para cada gravação de estado de autenticação no SIEM: classe de ação, resultado da autorização, ID de aprovação, resultado, versão da política (OWASP). Uma gravação que seu SIEM não pode ver é uma gravação que você não pode defender. Proprietário: SOC e engenharia de detecção. |
A correção não é colocar mais um immediate de MFA na tela de login. As pessoas que sobreviveram ao incidente de Meta foram as que já tinham esse controle em vigor.
A solução é retirar a autorização do sistema de honra do caminho de recuperação e colocá-la atrás de um portão que não se transfer apenas porque um aviso parece convincente. Construa o agente para que o SOC veja cada gravação que ele faz e para que qualquer gravação que altere quem possui uma conta não possa ser confirmada sem uma verificação que o modelo não controla.
Meta acabou de mostrar o que acontece quando o funcionário mais confiável da equipe também é aquele que detém as chaves. O próximo agente como esse já está lendo sua propriedade intelectual e suas finanças.
