Над 20.000 Instagram профили украдени преку хакирање на системот за поддршка со Meta AI

Meta откри дека повеќе од 20.000 корисници на Instagram имале преземени профили во неодамнешен инцидент во кој напаѓачите го искористиле системот за поддршка базиран на вештачка интелигенција на Meta за ресетирање на лозинки.

Како што објави BleepingComputer пред една недела, напаѓачите искористиле пропуст во алатката High Touch Support (HTS) на компанијата – систем за поддршка потпомогнат со вештачка интелигенција кој им помага на корисниците повторно да добијат пристап до своите Instagram профили откако ќе бидат заклучени.

Со искористување на фактот дека HTS не проверувал дали е-поштата е поврзана со таргетираниот Instagram профил, тие успеале да добијат линкови за ресетирање на лозинка. Тоа им овозможило да се најават и да ги преземат профилите што немале вклучена двофакторска автентикација (2FA).

Откако голем број корисници почнале да пријавуваат вакви напади на социјалните мрежи, Енди Стоун, потпретседател за комуникации во Meta, одговорил на еден од погодените корисници, наведувајќи дека „проблемот е решен и работиме на обезбедување на погодените профили“.

BleepingComputer минатата недела исто така побарал коментар од Meta во врска со овој безбедносен инцидент, но сè уште нема добиено одговор.

„Ве известуваме дека ранливост во алатка за поддршка при враќање на Instagram профили била искористена за потенцијално компромитирање на Instagram профилите на 30 корисници во вашата надлежност. Сите профили се обезбедени за да се спречи понатамошен неовластен пристап“, соопшти Meta во известување за нарушување на безбедноста на податоците, неодамна поднесено до Канцеларијата на државниот обвинител на Мејн.

„На 31 мај 2026 година, Meta откри дека постоела ранливост во систем за враќање на профили на Instagram потпомогнат со вештачка интелигенција („High Touch Support“ или „HTS“), која била искористена од неовластени трети страни за ресетирање на лозинки на Instagram кориснички профили“, објасни компанијата.

Иако Meta не прецизира кога започнале нападите, во поднесокот на веб-страницата на Канцеларијата на државниот обвинител на Мејн е наведено дека нарушувањето на безбедноста се случило на 17 април, што најверојатно е датумот на првиот напад што го искористил пропустот во HTS.

Дополнително, иако компанијата наведе дека нема информации за тоа кои лични податоци биле пристапени или украдени од компромитираните профили, предупреди дека напаѓачите можеле да добијат пристап до контакт-податоците на корисниците (е-пошта и/или телефонски број), датумите на раѓање, објавите и содржините на социјалните мрежи (фотографии, видеа и приказни), директните пораки и комуникации, историјата на активности и интеракции на профилот, информациите од профилот (биографија и профилна фотографија), како и до други поврзани профили и услуги.

По откривањето на инцидентот, компанијата го деактивираше HTS системот за поддршка базиран на вештачка интелигенција, како и сите линкови за ресетирање лозинки што биле генерирани преку него, со цел да се спречат сите идни обиди за преземање профили поврзани со истата злонамерна кампања.

Исто така, Meta ги вклучи сите потенцијално украдени профили во задолжителна безбедносна проверка и побара од засегнатите корисници повторно да ги ресетираат своите лозинки и повторно да се автентицираат за да ги обезбедат и вратат компромитираните профили под своја контрола.

„Пред повторно пуштање во употреба на алатката, Meta ќе го поправи механизмот за проверка на автентикација во процесот за враќање на Instagram профили, за да обезбеди соодветна проверка на е-поштите во однос на постојните информации за профилот пред да се иницира какво било ресетирање на лозинка“, соопшти компанијата.

„Дополнително, Meta спроведува сеопфатна ревизија на слични процеси за враќање на профили низ сите свои платформи со цел да ги идентификува и отстрани сите потенцијални проблеми.“

Пред овој инцидент, Ирска ја казни Meta со 264 милиони долари поради нарушување на безбедноста на податоците во 2018 година, при што беа изложени имињата, адресите на е-пошта, телефонските броеви и физичките локации на повеќе од 29 милиони Facebook профили.

Meta исто така беше казнета со 265 милиони евра (околу 275,5 милиони долари) во ноември 2022 година поради недоволна заштита на податоците на Facebook корисниците од автоматизирано собирање податоци (scraping), како и со дополнителни 91 милион евра (околу 100 милиони долари) поради чување на лозинките на стотици милиони корисници во обичен текст (plaintext), без соодветно шифрирање.

Извори:

• Bleeping Computer – Over 20,000 Instagram accounts stolen in Meta AI support hack Bleeping Computer