Instagram усунув вразливість безпеки, яка дозволяла зламувати акаунти деяких користувачів. Атака, ймовірно, ґрунтувалася на тому, що зловмисники обманювали власний чат-бот підтримки Meta на основі ШІ, змушуючи його надати доступ до акаунта жертви.
У вихідні кілька користувачів на Reddit повідомили, що їхні акаунти в Instagram було скомпрометовано, а низка користувачів X (колишній Twitter) попереджали про схожі захоплення сторінок. Серед зламаних акаунтів — офіційний обліковий запис Білого дому часів Обами, який, схоже, не був активним із 2017 року, а також акаунт головного сержанта з питань космічних операцій Космічних сил США Джона Бентівеньї.
Дослідниця безпеки Джейн Вонґ також заявила, що її акаунт в Instagram було перехоплено.
«Пароль було змінено без мого відома, і вчора протягом дня я отримувала різні спроби скидання пароля», — розповіла Вонґ. «Досить тривожно».
У відео, опублікованому в X, показано покроковий процес злому чужого акаунта в Instagram. Хакер начебто використовував VPN, щоб підмінити передбачуване місцезнаходження жертви й уникнути спрацювання автоматичних захистів акаунта Instagram. Потім зловмисник відкривав чат із Meta AI Support Assistant і просив бота додати нову адресу електронної пошти до акаунта цілі. На відео видно, як чат-бот надсилає код підтвердження на адресу електронної пошти, надану хакером; далі хакер передає цей код чат-боту, після чого в інтерфейсі з’являється кнопка «Reset Password» («Скинути пароль»). Зловмисник вводить новий пароль і отримує повний доступ до акаунта жертви.
TechCrunch вдалося підтвердити, що публічна поштова скринька хакера, показана у відео, дійсно отримала код підтвердження.
Атака була можлива завдяки тому, що на жодному етапі хакеру не потрібно було отримувати контроль над легітимною адресою електронної пошти, прив’язаною до акаунта жертви в Instagram.
У понеділок представник Instagram Енді Стоун у відповідь на пости Вонґ та інших користувачів заявив, що проблему вже виправлено. Невідомо, скільки користувачів Instagram зазнали несанкціонованого доступу до своїх акаунтів.
Meta поки що не відповіла на запит TechCrunch із проханням про коментар.