Новий чат-бот підтримки від Meta опинився в центрі скандалу через серйозну вразливість. За даними дослідників, зловмисники місяцями використовували його для захоплення чужих акаунтів Instagram, серед яких були навіть урядові та відомі публічні сторінки.
Про інцидент повідомили дослідники кібербезпеки, зокрема ZachXBT.
За наявною інформацією, проблема виникла після запуску сервісу підтримки Meta AI у березні 2026 року. Хакери виявили спосіб змушувати чат-бот змінювати електронну адресу, прив’язану до чужого акаунта.
Схема працювала без складних інструментів злому. Зловмисники використовували VPN для підміни свого місцезнаходження, після чого зверталися до Meta AI із проханням змінити адресу електронної пошти обраного профілю.
Після цього бот надсилав код підтвердження на нову адресу, яку контролював хакер. Отримавши доступ до коду, зловмисники могли скористатися функцією скидання пароля та фактично перехопити контроль над сторінкою.
За даними аналітиків, ця схема могла діяти ще з лютого 2026 року. За цей час були скомпрометовані тисячі облікових записів.
Особливого розголосу історія набула після зламу акаунтів відомих фахівців із кібербезпеки та низки офіційних сторінок. Серед постраждалих називалися архівна сторінка Білого дому часів президентства Барак Обама та профіль керівника Космічних сил США.
Після захоплення сторінок на них почали з’являтися сторонні повідомлення та пропагандистський контент.
Під удар також потрапили короткі та рідкісні нікнейми Instagram. За словами дослідників, деякі з них згодом перепродавалися на тіньових майданчиках. Вартість окремих акаунтів могла сягати сотень тисяч доларів.
Представник Instagram Meta Енді Стоун заявив, що компанія вже усунула проблему за допомогою екстреного оновлення.
Водночас розслідування показало, що атака не спрацьовувала проти користувачів, які активували двофакторну автентифікацію. Навіть підтвердження через SMS у більшості випадків блокувало спробу захоплення акаунта.
Експерти з кібербезпеки наголошують, що інцидент став черговим прикладом ризиків, пов’язаних із наданням системам штучного інтелекту надто широких повноважень без додаткових перевірок безпеки.