Meta skickar återställningskod för lösenord till vilken adress man än vill...

Detta är ju så dumt att jag knappt vet vad jag ska säga.

Meta (Facebook/Instagram) har till synes låtit någon slags LLM-chatbot vara en del i den vanligtvis extremt enkla och tydligt definierade processen för att återställa lösenord. Detta ledde till att vem som helst kunde bestämma vilken e-postadress återställningskoden skulle skickas till istället för att det skickades till kontoinnehavarens adress.

Jag vet att alla företag måste maximera sitt token usage för att inte halka efter i den stora AI-revolutionen men hur kunde inte någon dra i nödbromsen här?

https://www.svt.se/nyheter/utrikes/hackare-lurade-metas-ai-support-tog-over-stora-instagramkonton

Spännande när det kan vara så enkelt att få ut lösenord till konton och detta från stort bolag som borde ha folk som ska tänka på sånt.

Nu hade man tydligen stoppat den möjligheten.

Kan nästan garantera att åtgärderna Meta vidtagit för att förhindra exploiten är bristfälliga och går att runda för någon som tänker till.

Inte omöjligt, man har säkerligen gjort någon snabblösning som stoppar problemet tillfälligt men inte något permanent då det säkert tar längre tid att lösa.

Låter som någon som har testat i produktion.

Stämmer inte för 5 öre!
Jag använder VPN och måste alltid bekräfta min inloggning på FB och Insta. Detta går BARA på föranmälda mail eller Mobilnummer.