Support AI의 검증 누락으로 인한 Zero Auth Account Takeover 취약점 분석

The newest Instagram “exploit” is the goofiest I've seen

2026년 6월 1일3분intermediate

AI 요약

Context

Meta의 Support AI가 도입된 계정 복구 프로세스에서 사용자 신원 검증 로직의 심각한 결함 발견. 기존 보안 모델이 AI 기반의 고권한 복구 플로우를 예외 처리하며 2FA를 포함한 모든 인증 체계가 무력화된 상황.

Technical Solution

VPN 및 Proxy를 통한 위치 정보 위조로 지역 기반 보안 알고리즘 우회
Support AI에 계정 해킹 주장 및 임의의 이메일 주소로 인증 코드 전송 요청
기존 등록 이메일 여부를 확인하지 않는 Zero Auth Password Reset 로직의 허점 이용
공격자 제어 이메일로 수신한 코드를 제출하여 계정 소유권 완전 탈취
AI 애니메이션 기반의 가짜 비디오 셀피를 통한 신원 확인 단계 우회
고권한 복구 플로우 적용 시 기존 2FA 및 세션을 강제 무효화하는 설계 결함 활용

실천 포인트

- 고권한 복구 플로우 설계 시 기존 등록 정보(Email, Phone)와의 일치 여부 검증 필수 적용 - AI 기반 인증 단계 도입 시 Deepfake 및 AI 생성 콘텐츠를 필터링할 수 있는 Liveness Detection 강화 - 계정 소유권 변경 시 기존 연락처로 알림을 송신하는 Out-of-band Notification 체계 구축 - A/B 테스트 중인 신규 기능의 보안 영향도를 기존 레거시 보안 정책과 대조 분석

태그

#Zero-auth #Identity Verification #Support AI #Account Takeover #2FA Bypass

원문 읽기