Чатбот Meta AI допомагає хакерам зламувати Instagram: як він обходить захист
Чатбот підтримки Meta AI відкрив хакерам доступ до акаунтів Instagram, навіть тих, що були захищені двофакторною автентифікацією. Компанія виправила вразливість, але скільки людей вже постраждали, досі невідомо, пише Engadget.
Як Meta AI перетворився на інструмент для злому
- У грудні 2024 року Meta запустила ШІ-помічника для відновлення акаунтів у Facebook та Instagram, обіцяючи зробити процес «швидшим і простішим».
- Хакери сприйняли це буквально. За даними дослідників безпеки, саме цей чатбот став головним інструментом масштабної хвилі злому Instagram.
- Схема виглядала майже банально. Зловмисник відкривав чатбот підтримки Meta AI, просив змінити email, прив'язаний до чужого акаунту, а потім запитував скидання пароля.
- Двофакторна автентифікація — той самий захист, який мав зупиняти несанкціонований вхід, не рятувала.
- Єдиний додатковий крок, який потрібен був хакеру: VPN із геолокацією жертви. Система Meta орієнтувалась на знайоме розташування пристрою, а не на реальну верифікацію особи.
Підписуйтеся на наші соцмережі
Хто постраждав від вразливості Meta AI
Серед виявлених жертв опинився обліковий запис Instagram Білого дому часів адміністрації Обами, який не публікував нічого з 2017 року.
Раптом на ньому з'явилось зображення, створене штучним інтелектом, із текстом «Білий дім під контролем шиїтів». Meta факт злому підтвердила, деталей не надала. Серед інших постраждалих називають мережу магазинів косметики Sephora і офіцера Космічних сил США.
Віцепрезидент Meta з комунікацій Енді Стоун написав у X, що «проблему вирішено, постраждалі акаунти захищаються». Компанія не уточнила, скільки їх виявилось і чи повідомлятимуть власників.
Ця ситуація не перший скандал Meta, пов'язаний з безпекою та монетизацією ризиків. За даними розслідування Reuters, компанія щороку отримує мільярди від реклами шахрайських схем у своїх же платформах, воліючи не надто жорстко модерувати проблему.
Тепер з'ясовується, що інструмент, покликаний захищати користувачів, сам перетворився на вектор атаки. А ширша тенденція зрозуміла: ШІ дедалі частіше стає зброєю у руках зловмисників, і цього разу вразливість запровадила сама платформа.
Чи могли українців зламати в Instagram
- Instagram залишається одним з головних каналів продажів для українського малого бізнесу. Більшість підприємців ведуть бізнес через єдиний акаунт без резервного доступу.
- Злом такого профілю означає не просто втрату сторінки, а зупинку продажів, втрату аудиторії та репутаційний удар, особливо якщо хакери встигнуть опублікувати контент від імені бренду.
- Аби запобігти цьому, перевірте, яка електронна пошта прив'язана до вашого Instagram-акаунту (Налаштування → Акаунт → Особиста інформація), увімкніть сповіщення про вхід із нових пристроїв і переконайтеся, що двофакторна автентифікація прив'язана до застосунку-автентифікатора, а не лише до SMS.
- Номеру телефону як єдиного фактора захисту вже недостатньо.
Якщо ваш акаунт Instagram виявився підозріло активним у незвичний час або email несподівано змінився, то варто перевірити налаштування та, за потреби, скористатись покроковим алгоритмом відновлення доступу.