Зловмисники задіяли ШІ-помічника служби підтримки Meta для масового захоплення облікових записів в Instagram. Про це інформує 404 Media, посилаючись на звіти експертів з безпеки.
Кіберзлочинці використовували техніку прямого «промпт-ін’єкції». Вони доручали чат-боту змінити електронну адресу, прив’язану до профілю. Єдиною додатковою умовою для успіху було використання VPN, геолокація якого співпадала з даними автентичного власника.
Після того, як бот змінював електронну адресу в налаштуваннях без додаткової верифікації особи, зловмисники запускали стандартну процедуру відновлення пароля та отримували повний контроль над сторінкою.
Масштаб проблеми
Серед скомпрометованих профілів — архівний акаунт Білого дому часів Барака Обами, сторінка головного сержанта Космічних сил США Джона Бентівеньї та офіційна сторінка бренду Sephora. За словами колишньої співробітниці Meta Джейн Вонг, її особисті акаунти також зазнали несанкціонованого доступу.
У профілі Білого дому кіберзлочинці встигли опублікувати проіранські дописи. Інші зловмисники націлювалися на унікальні «короткі» імена користувачів для подальшого перепродажу на нелегальних форумах.
Інструмент Meta AI Support Assistant був запущений у березні. Компанія представляла його як рішення для повної автоматизації процесу відновлення доступу.
Речник корпорації Енді Стоун повідомив про усунення вразливості.
This issue has been resolved and we are securing impacted accounts.
— Andy Stone (@andymstone) June 1, 2026
Думка експертів
Фахівці, опитані MIT Technology Review, назвали інцидент провалом фундаментальних протоколів безпеки. Професор Університету Вісконсин-Медісон Сомеш Джа зазначив, що ШІ-агенти «надмірно прагнуть виконати поставлені завдання» та ігнорують контрольні питання, які неодмінно поставила б людина.
Експерти наголосили, що Meta знехтувала ретельним «червоним тестуванням» перед інтеграцією ШІ в такі критично важливі компоненти, як управління налаштуваннями безпеки.
Нагадаємо, у травні Socket повідомила про атаку на ланцюг постачання, спрямовану проти розробників криптовалютних та ШІ-систем.