У Instagram виявили небезпечну вразливість, яка дозволяла отримати контроль над чужими акаунтами через чат-бот служби підтримки Meta. Після розголосу компанія терміново закрила лазівку, але кількість постраждалих досі невідома.
Про це пише 404 Media.
За даними видання, зловмисники використовували ШІ-помічника Meta для зміни електронної адреси, прив’язаної до чужого акаунта Instagram. Для цього вони підключалися через VPN, щоб імітувати перебування в тому самому регіоні, де знаходився власник профілю.
Після звернення до чат-бота хакери просили змінити адресу електронної пошти. Система надсилала код підтвердження вже на вказану ними скриньку, а після його введення відкривала можливість скинути пароль.
У результаті зловмисники могли повністю перехопити контроль над акаунтом без будь-якого підтвердження з боку справжнього власника.
Після публікації інформації про проблему Meta оперативно усунула вразливість. Водночас досі невідомо, скільки часу вона існувала та скільки користувачів могли стати жертвами цієї схеми.
Журналісти припускають, що лазівка могла працювати ще з моменту запуску AI-помічника служби підтримки.
Із цією схемою пов’язують низку резонансних зламів, які сталися останніми днями. Серед постраждалих опинилися сторінка Білого дому часів президентства Барака Обами, офіційний акаунт мережі косметичних магазинів Sephora та профіль головного сержанта Космічних сил США Джона Бентівені.
У Meta вже заявили, що працюють над поверненням доступу до викрадених акаунтів їхнім законним власникам.
На цьому тлі увагу привернули й нещодавні кадрові зміни в компанії. Раніше керівник Meta Марк Цукерберг скоротив близько 20% персоналу на тлі масштабних інвестицій у розвиток технологій штучного інтелекту.
Наприкінці травня компанія також запустила платні підписки для користувачів Instagram та Facebook. Нові функції дозволяють, зокрема, анонімно переглядати Stories та отримувати розширену статистику переглядів.