Функция AI-поддержки Meta позволяет любому угнать аккаунты Instagram — подробности эксплойта внутри

Функция поддержки AI в Instagram от Meta — в настоящее время A/B-тестируется на части аккаунтов — содержит критическую уязвимость, позволяющую любому легко угнать аккаунт. Эксплойт активно используется в черных чатах несколько дней, скомпрометировано более 100 ценных аккаунтов.

Как работает эксплойт

Согласно посту на Hacker News от пользователя parable, атака требует всего трех шагов:

• Подключитесь через прокси или VPN, близкий к региону целевого аккаунта.
• Попросите AI-агента поддержки отправить код подтверждения на произвольный email-адрес, который вы контролируете.
• Получите код, перешлите его агенту, и агент предоставит ссылку для сброса пароля, с помощью которой вы сможете войти в аккаунт.

Это обходит любые проверки безопасности на основе email, так как AI-агент сам обрабатывает процесс верификации.

Влияние и контекст

Эксплойт распространяется в Telegram и тривиален в исполнении. Пострадавшие сообщают, что их сессии были отозваны, а пароли изменены без каких-либо email, SMS или push-уведомлений. Даже аккаунты с двухфакторной аутентификацией (2FA) могут быть уязвимы — некоторые отчеты показывают, что 2FA также можно обойти. Пользователи, пострадавшие от эксплойта, также столкнулись с ограничением скорости отправки писем для сброса пароля, что затрудняет восстановление аккаунтов через обычные каналы.

Это не первый случай халатности Meta в области безопасности. В феврале другой эксплойт позволял любому увидеть email и номер телефона, привязанные к любому аккаунту Instagram. Эта ошибка так и не была официально признана Meta.

Рекомендуемые меры

Немедленное решение — полностью отключить функцию AI-поддержки, пока процесс верификации не исправлен. Пострадавшим пользователям следует восстановить угнанные аккаунты и имена пользователей. На момент публикации поста на Hacker News ошибка оставалась неисправленной.