AI-помічник підтримки Meta дозволяв хакерам змінювати пошту в чужих акаунтах Instagram і скидати пароль, пише 404 Media та The Verge.
Що сталося
Meta у березні запустила AI-бот для підтримки користувачів Instagram. Він мав допомагати зі скиданням пароля, налаштуванням двофакторної автентифікації та відновленням доступу до акаунта. Але, як з’ясували, цим інструментом скористалися хакери.
У відео, яке з’явилося в Telegram, один із зловмисників показав схему атаки. Він просив чат-бота прив’язати до чужого профілю нову електронну адресу. Після цього бот надсилав код підтвердження вже на пошту хакера. Далі залишалося скинути пароль і заблокувати справжнього власника акаунта.
🚨 Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer) June 1, 2026
Чому це цікаво
Атака зачепила кілька помітних акаунтів, серед них — @obamawhitehouse, який почав публікувати іранську пропаганду, а також акаунти, пов’язані з Космічними силами США і Sephora. Дослідниця безпеки Джейн Манчун Вонг теж заявила, що її акаунт перехопили без її відома.
Щоб пройти перевірки, частина хакерів використовувала VPN. Так вони підробляли свою геолокацію і виглядали для системи як користувачі з того самого регіону, що й власник акаунта. За словами журналістів, зловмисники особливо цілилися в короткі та цінні юзернейми — на кшталт однієї літери або одного слова.
Meta заявила, що проблему вже виправили і постраждалі акаунти захищають. Компанія не розкрила, скільки саме профілів могли постраждати і як довго вразливість залишалася активною.
Нагадаємо, Meta працює над новим гаджетом зі штучним інтелектом. Йдеться про кулон, який компанія хоче протестувати наступного року. Ймовірно, продукт побудують на основі технологій Limitless — AI-стартапу, який Meta придбала наприкінці 2025 року.