Уязвимость Meta AI: искусственный интеллект Instagram массово отдавал хакерам доступы к профилям
Злоумышленники обманом заставили Meta AI отдавать чужие аккаунты
Хакеры взломали аккаунты Обамы и Космических сил США благодаря ИИ-поддержке Instagram: как работала схема/Фото: Unsplash
-
Хакеры захватили аккаунты Instagram через уязвимость в Meta AI, используя VPN для имитации владельцев и несанкционированной смены данных доступа.
-
Среди целей оказались бывшая страница Барака Обамы и сотрудники Космических сил США; Meta подтвердила исправление бага, затронувшего множество профилей.
-
Инцидент вызвал критику из-за отсутствия "живой" техподдержки, доказав опасность передачи функций безопасности под полный контроль чат-ботов.
В системе безопасности Instagram произошёл серьёзный сбой: хакеры нашли способ обманом заставить службу поддержки на базе искусственного интеллекта предоставить им доступ к чужим учетным записям. Используя VPN для маскировки геолокации, злоумышленники манипулировали чат-ботом Meta AI, который без должной проверки менял привязанные электронные адреса и отправлял коды для сброса паролей. Хотя в Meta оперативно заявили об устранении уязвимости, этот инцидент выявил критические риски полной автоматизации техподдержки и вызвал волну беспокойства относительно безопасности личных данных.
Детали
В настоящее время заявляется, что Instagram устранил уязвимость в своем ИИ-ассистенте поддержки, из-за которой злоумышленники получали доступ к чужим профилям. Представитель Meta Энди Стоун подтвердил решение проблемы и защиту пострадавших пользователей, хотя опроверг слухи о взломе страниц мировых лидеров.
По данным издания 404media, инцидент совпал с волной похищений известных аккаунтов. В частности, была временно взломана бывшая страница Барака Обамы времён Белого дома — там появился проиранский контент. Точное количество пострадавших неизвестно, но среди них оказалась даже бывшая инженер по безопасности Meta Джейн Манчун Вонг, которая заявила о тайной смене своего пароля.
В воскресенье, 31 мая, хакеры также взломали аккаунт в Instagram высокопоставленного сотрудника Космических сил США и разместили там серию проиранских и антииамериканских пропагандистских материалов, часть которых содержала упоминания о войне во Вьетнаме. В сообщении на Facebook главный старший сержант Джон Бентивегна, главный сержант-защитник Космических сил, посоветовал своим коллегам не переходить по ссылкам и не просматривать видеоролики, опубликованные на его странице.
Как работала схема взлома
В сети распространялись доказательства (видео и скриншоты, в том числе от инсайдера Dark Web Informer), которые демонстрировали схему обхода защиты через Meta AI:
- Хакеры через VPN подменяли геопозицию, имитируя реального владельца аккаунта.
- В процессе восстановления профиля они просили ИИ-бота привязать новый электронный адрес.
- Робот выполнял команду, отправлял код подтверждения на адрес хакера и предоставлял ссылку для смены пароля.
Реакция пользователей: Один из пострадавших пожаловался на отсутствие "живой" поддержки, отметив:
Мы дошли до грани, когда один ИИ крадет систему, другой не может это исправить, а людей в процессе вообще нет
Экспертное мнение
Мариус Бриеедис, технический директор NordVPN, отметил, что Meta и другие технологические гиганты активно заменяют человеческую поддержку искусственным интеллектом. Однако, когда чат-боты получают чрезмерные полномочия без должного контроля, это создаёт серьёзные угрозы. Он подчеркнул, что восстановление доступа к аккаунтам — слишком критичный процесс, чтобы руководствоваться только удобством и полностью доверять его алгоритмам.
Также хакеры из группировки Lapsus$ заявили о похищении 180 ГБ конфиденциальных данных компании Ingka Group, крупнейшего франчайзи Ikea. Злоумышленники утверждают, что получили доступ к исходному коду, технической архитектуре и внутренним документам бренда.
Для подтверждения своих слов хакеры опубликовали образец файла. По оценке аналитиков Cybernews, он содержит ссылки примерно на 6300 внутренних папок, связанных с бизнес-приложениями, CMS-системами, аналитическими инструментами и Android-приложением Ikea. Однако, поскольку сам контент папок пока закрыт, независимо верифицировать масштаб утечки пока невозможно.
Google официально объявила о запуске рекордного вознаграждения: с мая 2026 года за найденную критическую уязвимость в её системах безопасности можно получить один миллион долларов. Этот шаг — не просто щедрость компании, а признание нового этапа в кибербезопасности. Техногигант фактически подтвердил, что автоматизированный поиск багов коренным образом изменил правила игры, поэтому привлечение лучших специалистов теперь требует соответствующих масштабных инвестиций.
Не пропустите интересное!
Подписывайтесь на наши каналы и читайте новости в удобном формате!