Уразливість в автоматизації: хакери масово захоплювали акаунти в Instagram через чат-бота Meta AI

Meta зіткнулася з масштабною хвилею зламів акаунтів Instagram — і головним інструментом зловмисників став не віруc і не фішинг, а власний ШІ-помічник компанії.

Як це працювало

На початку року Meta запустила чат-бота на базі штучного інтелекту для автоматизації служби підтримки. Бот отримав широкі повноваження — зокрема, міг самостійно скидати паролі та змінювати контактні дані акаунтів без участі живого співробітника.

Саме цим і скористалися хакери. Схема була проста: зловмисник звертався до чат-бота, представлявся власником чужого акаунта і просив прив’язати його до нової електронної адреси. Бот виконував запит без додаткової перевірки — і зловмисник отримував повний контроль над профілем, назавжди блокуючи доступ справжньому власнику.

Хто постраждав

Основними цілями стали так звані OG-акаунти — короткі, рідкісні імена профілів, які мають високу цінність на тіньовому ринку та перепродаються за значні суми. Серед жертв виявився, зокрема, керівник апарату Космічних сил США.

Що зробила Meta

Компанія заявила про усунення проблеми і розпочала масове сповіщення постраждалих користувачів із вимогою змінити паролі. Проте навіть після офіційної заяви про «виправлення» в Telegram-каналах хакерів тривали обговорення нових успішних зламів, а скомпрометовані акаунти продовжували з’являтися на продаж.

Головний урок

Цей випадок наочно показує: передавати штучному інтелекту повноваження на критичні дії — зміну даних, скидання паролів — без контролю з боку людини небезпечно. Автоматизація заради зручності може обернутися серйозною вразливістю.