Instagram заявив, що усунув проблему, через яку хакери змогли обманом змусити його ШІ-інструмент підтримки надавати доступ до акаунтів інших користувачів. За твердженнями, які підтверджуються скриншотами та відео, поширеними в соціальних мережах, чатбот Instagram на базі ШІ дозволяв користувачам “захоплювати” акаунти в останні дні.
Читайте также: Огляд ноутбука Acer Nitro V 15: бюджетний геймінг без ілюзій
Зловмисники, як повідомляється, могли змінювати паролі інших акаунтів, підробляючи своє місцезнаходження та потім просячи ШІ змінити прив’язані до акаунтів електронні адреси. Інцидент відбувається на тлі занепокоєння щодо впливу дедалі потужніших і поширеніших систем штучного інтелекту на дані та безпеку людей. Відео, поширені в соціальних мережах, нібито показували, як могла відбуватися така атака на Instagram.
“В одному з них, опублікованому дослідником кібербезпеки Dark Web Informer в X, показано, як користувач шукає ім’я акаунта, до якого хоче отримати доступ, у процесі відновлення Instagram”, — пише BBC.
Також демонструється використання VPN-сервісу для підміни місцезнаходження, щоб виглядати так, ніби користувач знаходиться там же, де й власник акаунта. Після вибору потрібного акаунта користувач надсилає повідомлення підтримці Meta AI з проханням прив’язати нову електронну адресу до акаунта та надіслати код підтвердження. Бот виконує запит — надсилає код на електронну адресу хакера, який після підтвердження отримує лист із посиланням для зміни пароля.
Один користувач X написав, що не зміг знайти “живу підтримку”, коли його акаунт Instagram було зламано.
“Ми дійшли до точки, де один ШІ вкрав акаунт, а інший не може його виправити — жодної участі людей ніде”, — сказав він.
Meta, як розповідають, відреагувала досить швидко.
“Цю проблему вже вирішено, і ми забезпечуємо захист постраждалих акаунтів”, — заявив речник Meta Енді Стоун у дописі на X.
У відповідь на інший допис він також зазначив, що заяви про використання вразливості для зламу акаунтів світових лідерів є “абсолютно неправдивими”.
Технологічне видання 404media повідомило:
“Публікації про вразливість збіглися в часі з “низкою захоплень високопрофільних акаунтів Instagram”, включно з перевіреним акаунтом, який використовувався Бараком Обамою під час його перебування на посаді президента США.”
Читайте также: 10-кратний перископ і нові телеконвертери: Vivo готує фото-монстра X500 Ultra
Акаунт колишнього президента США опублікував проіранський контент перед тим, як його відновили. Після цього повідомлялося, що акаунт Instagram, який використовувався Бараком Обамою під час його президентства, був зламаний.
Наразі невідомо, скільки акаунтів Instagram постраждали від цього ймовірного експлойту. Серед тих, хто заявляв про злам, була дослідниця безпеки та колишня співробітниця Meta Джейн Манчун Вонг. Вонг, яка раніше працювала в Meta як інженерка з безпеки, написала в X, що її пароль Instagram “було змінено без її відома”, і вона неодноразово бачила різні спроби скидання пароля.
“Досить тривожно”, — додала вона.
BBC запитала Meta, чи доступна людська підтримка користувачам, чиї акаунти були зламані. Компанія раніше вже стикалася з критикою через відсутність підтримки користувачів, чиї акаунти були зламані або помилково заблоковані.Незалежний орган, який розглядає спори користувачів соціальних мереж в ЄС, минулого тижня заявив, що Meta майже ніколи не відповідає на випадки, коли повідомляється про неправомірні блокування.
“Дослідники зазначають, що експлойт міг циркулювати ще з кінця березня 2026 року — приблизно з моменту, коли Meta запустила або активніше розгорнула AI-підтримку для Instagram. Це означає, що вразливість могла існувати кілька місяців до офіційного виправлення, перш ніж її почали масово обговорювати в соцмережах”, — зазначає портал Android Authority.
Також повідомляється, що інструмент підтримки працював без достатніх “guardrails” — зокрема без додаткової перевірки права власності на акаунт перед тим, як змінювати email. Фактично, AI виконував критичні дії (зміна пошти та запуск reset-процедури) лише на основі діалогу, без жорсткої автентифікації користувача.
“Ця атака не вимагала доступу до оригінальної електронної пошти або телефону жертви — тобто зловмисникам не потрібно було мати жодних реальних даних власника акаунта, окрім username. Це робило метод особливо небезпечним, оскільки він обходив стандартні канали відновлення доступу”, — додає видання Digital Trends.
Також у матеріалах підкреслюється, що Meta вперше розгорнула AI support як частину стратегії автоматизації обслуговування користувачів, включно з функціями скидання пароля та обробки запитів про злам. Саме ця інтеграція “support + account recovery” і створила критичну точку ризику. Деякі джерела також вказують, що постраждалі користувачі часто не могли швидко отримати доступ до живої підтримки, через що відновлення акаунтів ставало майже неможливим у момент атаки — і це дозволяло зловмисникам діяти швидше, ніж жертвам.
Читайте также: Фільм Mortal Kombat 2 виходить у цифровому продажу 9 червня, на Blu-ray — 28 липня
Джерело: BBC
