Компанія Meta усунула вразливість в Instagram, яка дозволяла зловмисникам отримувати контроль над чужими акаунтами за допомогою AI-асистента служби підтримки.
Повідомляє видання GALERANEWS, посилаючись на TechCrunch.
Про проблему стало відомо після того, як користувачі Reddit та X почали повідомляти про несанкціоновані захоплення акаунтів. Серед постраждалих опинилися навіть офіційний акаунт Білого дому часів адміністрації Барака Обами та акаунт головного сержанта Космічних сил США Джона Бентівеньї.
За даними дослідників безпеки, схема атаки використовувала Meta AI Support Assistant. Хакери відкривали чат із ботом підтримки та просили додати нову електронну адресу до облікового запису жертви. Після цього чатбот надсилав код підтвердження на адресу, вказану зловмисником, а отриманий код використовувався для скидання пароля та повного захоплення акаунта.
Особливістю атаки було те, що хакерам не потрібно було отримувати доступ до справжньої електронної пошти власника акаунта. Для обходу захисних механізмів Instagram вони також використовували VPN, щоб імітувати місцезнаходження користувача.
Фахівець із безпеки Джейн Вонг повідомила, що її власний акаунт також був скомпрометований. За її словами, пароль було змінено без її відома, а протягом дня вона отримувала численні запити на відновлення доступу.
Представник Instagram Енді Стоун заявив, що проблему вже виправлено. Водночас Meta поки не розкриває, скільки саме користувачів могли постраждати від цієї вразливості.
Інцидент став черговим прикладом ризиків, пов’язаних із використанням штучного інтелекту в системах підтримки користувачів та управління доступом до облікових записів.
