Уязвимость в системе поддержки Instagram позволяла захватывать чужие аккаунты

В системе поддержки Meta (деятельность Meta признана экстремистской и запрещена в РФ) на базе ИИ обнаружили серьезную уязвимость. Она позволяла злоумышленникам получать доступ к чужим аккаунтам Instagram (принадлежит компании Meta, признанной экстремистской и запрещённой в РФ), даже не имея доступа к электронной почте владельца. О проблеме сообщил онлайн‑медиум 404. В Meta подтвердили, что уязвимость существовала и уже устранена, однако неизвестно, сколько аккаунтов могли быть захвачены таким способом.
Сама схема атаки выглядела довольно просто. Сначала нападавший через VPN имитировал вход из того же региона, где находился целевой аккаунт, после чего использовал функцию «Passwort vergessen». Затем он писал чат-боту Meta, указывая новую электронную почту для чужого аккаунта и просил продолжить общение через нее. Система отправляла на этот адрес верификационный код, и с его помощью можно было завершить захват профиля.
По данным 404, среди затронутых целей были разные аккаунты, в том числе White-House-Profil von Barack Obama и профиль высокопоставленного офицера US Space Force, а также обычные пользователи. Meta внедрила «KI Support Assistenten» по всему миру в начале этого года для Facebook и Instagram. В материале также говорится, что дополнительной защитой от захвата может стать активация более продвинутой 2‑Faktor-Authentifizierung.
Ключевые факты
Хакеры использовали KI‑gestützten Support‑Chatbot von Meta, чтобы получить доступ к профилям на платформе Instagram.
Атака позволяла захватывать чужие Instagram‑аккаунты без доступа к оригинальному адресу электронной почты аккаунта.
Среди затронутых были White‑House‑профиль Barack Obama и аккаунт высокопоставленного офицера US Space Force, а также обычные пользователи.
Meta подтвердила наличие уязвимости и заявила, что она уже устранена; «KI Support Assistent» был запущен по всему миру в начале этого года для Facebook и Instagram.