Злоумышленники нашли способ обойти защиту Instagram, используя уязвимость в чат-боте Meta для сброса паролей и получения доступа к аккаунтам.
В конце мая 2026 года хакеры использовали уязвимость в системе поддержки клиентов Meta для получения доступа к аккаунтам Instagram. В частности, были временно изменены аккаунты, связанные с Белым домом Барака Обамы и Главным старшим мастер-сержантом Космических сил США.
Эксплуатация уязвимости заключалась в том, чтобы заставить ИИ-бота Meta добавить новый адрес электронной почты к существующему аккаунту в процессе сброса пароля. Затем бот отправлял одноразовый код на новый адрес, позволяя злоумышленникам завершить сброс пароля.
Видео, опубликованные в Telegram, демонстрировали, как атакующие, используя VPN-соединение с IP-адресом, близким к местоположению жертвы, обращались к ИИ-боту с запросом на сброс пароля. После этого они просили бота привязать аккаунт к новой электронной почте, что приводило к захвату учетной записи.
Хакеры утверждали, что использовали этот метод для получения контроля над короткими именами пользователей Instagram, стоимость которых на черном рынке может превышать полмиллиона долларов. Атаки не удались против аккаунтов, защищенных двухфакторной аутентификацией.
Представитель Meta Энди Стоун подтвердил, что проблема была решена, и компания работает над восстановлением доступа к пострадавшим аккаунтам. Meta выпустила исправление в выходные дни, утечки данных из бэкенд-баз не произошло.
Эксперты отмечают, что подобные инциденты подчеркивают риски, связанные с использованием ИИ в системах поддержки клиентов. Чат-боты могут быть подвержены социальной инженерии и обману.
Для защиты аккаунтов рекомендуется использовать надежные методы двухфакторной аутентификации, такие как ключи безопасности. SMS-коды также повышают безопасность учетной записи.

