據《404 Media》於 6 月 1 日報道,Meta 已ยืนยันว่าแฮกเกอร์ใช้ช่องโหว่ด้านความปลอดภัยของบอทผู้ช่วยลูกค้าด้วย AI เข้าควบคุมบัญชี Instagram ชื่อดังหลายบัญชีได้สำเร็จ โดยบัญชีที่ได้รับผลกระทบได้แก่บัญชีทางการของสมัยทำเนียบขาวของอดีตประธานาธิบดีสหรัฐฯ โอบามา, แบรนด์เครื่องสำอางชื่อดัง Sephora และบัญชีทางการของนายทหารยศนายช่างอาวุโสด้านอวกาศของกองทัพอวกาศสหรัฐฯ
ขั้นตอนโจมตีครบวงจร: AI ลูกค้าสามารถถูกหลบเลี่ยงได้อย่างไร
จากวิดีโอที่แฮกเกอร์และนักวิจัยความปลอดภัยที่ถูกอ้างถึงโดย《404 Media》แชร์กันใน Telegram กระบวนการโจมตีครั้งนี้ได้รับการยืนยันแล้ว:
การปลอมตำแหน่ง: ผู้โจมตีใช้ VPN เพื่อปลอมตำแหน่งเครือข่ายให้เป็นเขตประเทศเดียวกับบัญชีเป้าหมาย
ส่งคำขอ: ส่งบทสนทนาไปยังบอทผู้ช่วยลูกค้าด้วย AI ของ Meta โดยขอให้เชื่อมโยงบัญชีเป้าหมายเข้ากับกล่องอีเมลใหม่ที่ผู้โจมตีเป็นผู้จัดเตรียม
รับรหัสยืนยัน: บอทผู้ช่วยลูกค้าด้วย AI ของ Meta จะส่งรหัสยืนยัน 8 หลักไปยังอีเมลใหม่ที่ผู้โจมตีให้ไว้
ดำเนินการโอนการควบคุมให้สำเร็จ: ผู้โจมตีป้อนรหัสยืนยันในหน้าจอแชทเพื่อรับสิทธิ์ในการรีเซ็ตรหัสผ่าน และเข้าควบคุมบัญชี IG เป้าหมายได้อย่างเต็มที่
คำชี้แจงจากทางการของ Meta ระบุว่า เมื่ออีเมลของบัญชีถูกเปลี่ยน ระบบควรส่งการแจ้งเตือนที่มีลิงก์สำหรับการกู้คืนแบบพิเศษไปยังอีเมลเดิม อย่างไรก็ตาม ช่องโหว่ของบอทผู้ช่วยลูกค้าด้วย AI ทำให้กลไกนี้ไม่สามารถทำงานได้ตามปกติ
คำตอบของ Meta: ซ่อมแซมช่องโหว่แล้ว ยังไม่ประกาศจำนวนบัญชีที่ได้รับผลกระทบ
Meta ยืนยันว่ามีเหตุโจมตีทางไซเบอร์นี้เกิดขึ้นจริง ช่องโหว่ได้รับการแก้ไขแล้ว และกำลังช่วยเหลือบัญชีที่ได้รับผลกระทบเพื่อเพิ่มมาตรการป้องกัน จำนวนบัญชีที่ได้รับผลกระทบทั้งหมด ณ เวลาที่รายงาน ยังไม่ได้เปิดเผย
บอทผู้ช่วยลูกค้าด้วย AI ของ Meta เปิดตัวในช่วงต้นปี 2026 โดยอ้างว่าสามารถช่วยผู้ใช้จัดการคำขอสำคัญต่างๆ เช่น การรีเซ็ตรหัสผ่านและการกู้คืนความปลอดภัยของบัญชี หลังจากเปิดให้บริการเพียงไม่กี่เดือนก็เกิดเหตุโจมตีครั้งนี้ขึ้น
เบื้องหลังการลดคน: ประกาศเลิกจ้าง 8,000 คนในวันที่ 20 พฤษภาคม 2026
Mark Zuckerberg ได้ส่งหนังสือแจ้งการลดจำนวนพนักงานทั่วโลกในวันที่ 20 พฤษภาคม 2026 โดยจะเลิกจ้างพนักงานราว 8,000 คน (คิดเป็น 10% ของจำนวนพนักงานทั้งหมด) เป้าหมายคือเพื่อลดต้นทุนการดำเนินงาน เพื่อรองรับงบประมาณลงทุนด้าน AI คาดการณ์อยู่ที่สูงถึง 1,250 ถึง 1,450 ล้านล้านดอลลาร์ และผลักดันการจัดการแบบแบนราบ
ตามรายงานของ《Wired》Meta ทำสถิติการมีกำไรใกล้ 27,000 ล้านดอลลาร์ในไตรมาสแรกของปี 2026 แต่ขวัญกำลังใจของพนักงานภายในองค์กรกลับดิ่งลงสู่ระดับต่ำสุด Huang Wenjin ในการยืนยันว่าได้มีการโจมตีบัญชีแล้ว ได้ออกมาแสดงความคิดเห็นอย่างเปิดเผยว่า: “ขอแสดงความยินดีกับ Meta ที่ตัดทีม Trust and Safety (T&S) และให้บริการซัพพอร์ตบัญชีไปอยู่กับบอท AI ที่ง่ายต่อการถูกหลอกเพื่อทำงานอัตโนมัติ” ทางด้าน Meta ยังไม่ได้ให้คำชี้แจงอย่างเป็นทางการเกี่ยวกับขนาดของทีม T&S ที่ถูกลดลง และผลกระทบต่อความสามารถด้านความปลอดภัยไซเบอร์
คำถามที่พบบ่อย
ปัญหาหลักของช่องโหว่บอทผู้ช่วยลูกค้าด้วย Meta AI คืออะไร?
ตามรายงานของ 404 Media เมื่อบอทผู้ช่วยลูกค้าด้วย Meta AI ได้รับคำขอให้เปลี่ยนอีเมลของบัญชี มันจะส่งรหัสยืนยันไปยังอีเมลใหม่ที่ผู้โจมตีให้ไว้ โดยไม่บังคับให้ทำงานกลไกความปลอดภัยที่ต้องส่งการแจ้งเตือนหรือการกู้คืนกลับไปยังอีเมลเดิม ในกระบวนการปกติ การเปลี่ยนอีเมลควรส่งการแจ้งเตือนไปยังอีเมลเดิม แต่การนำไปใช้งานของบอท AI ได้หลบเลี่ยงด่านการตรวจสอบนี้
บัญชีชื่อดังใดได้รับการยืนยันว่าได้รับผลกระทบ และ Meta ได้เปิดเผยจำนวนรวมที่ได้รับผลกระทบหรือไม่?
บัญชีชื่อดังที่ได้รับการยืนยันว่าถูกกระทบประกอบด้วยบัญชี Instagram ทางการในยุคทำเนียบขาวของอดีตประธานาธิบดีสหรัฐฯ โอบามา, แบรนด์เครื่องสำอาง Sephora และบัญชีทางการของนายช่างอาวุโสด้านอวกาศของกองทัพอวกาศสหรัฐฯ Meta ยืนยันว่าเหตุโจมตีเกิดขึ้นจริง แต่截至เวลาที่รายงาน ยังไม่ได้เปิดเผยจำนวนรวมของบัญชีที่ได้รับผลกระทบ
แผนการลดพนักงานของ Meta กับเหตุการณ์ความปลอดภัยไซเบอร์ครั้งนี้มีความเชื่อมโยงโดยตรงอย่างไร?
อดีตพนักงาน Meta อย่าง Jane Manchun Wong ระบุเป็นสาธารณะว่า หลังจากมีการลดพนักงาน ทีม T&S บริการช่วยเหลือบัญชีก็เปลี่ยนไปให้บอท AI เป็นผู้ดำเนินการ และชี้ว่า นี่คือหนึ่งในปัจจัยเบื้องหลังที่ทำให้การโจมตีครั้งนี้ประสบความสำเร็จ ทางด้าน Meta ยังไม่ได้ให้คำชี้แจงอย่างเป็นทางการเกี่ยวกับขนาดที่แท้จริงของทีม T&S ที่ถูกลดลง และผลกระทบต่อความสามารถด้านการป้องกันความปลอดภัยไซเบอร์โดยรวม
