Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) оказался в центре неприятной истории: критическая уязвимость в системе поддержки на базе Meta AI позволяла злоумышленникам перехватывать аккаунты через процедуру восстановления пароля.
По данным исследователей, проблема была не во взломе серверов Meta, а в логике самого ИИ-ассистента.
Атакующие начинали диалог с чат-ботом и специальными запросами убеждали его отправить коды или ссылки для сброса пароля посторонним людям. Жёсткой проверки личности владельца аккаунта и нормальных ограничений на такие запросы, судя по всему, не хватало.
В результате для атаки было достаточно знать имя пользователя. Дальше дело техники: заставить бота поверить, что перед ним законный владелец профиля. Классический взлом? Нет. Скорее социальная инженерия, только жертвой стал не человек из поддержки, а ИИ.
Одними из первых о проблеме сообщили исследователи ZachXBT и Dark Web Informer. По их данным, злоумышленники охотились за дорогими и редкими никами в Instagram — короткими, красивыми и хорошо продающимися. Среди целей упоминались аккаунты вроде @hey и @jowo. Такие профили на подпольных рынках могут стоить огромных денег, иногда речь идёт о сотнях тысяч долларов.
Украденные аккаунты, как утверждается, быстро выставляли на продажу в закрытых телеграм-каналах.
Meta заявила, что её инфраструктура не была скомпрометирована, а проблему исправили вечером в пятницу. Компания подчеркнула, что речь шла об ошибке, позволявшей сторонним лицам запрашивать письма для сброса пароля некоторых пользователей.
Отдельно отмечается, что аккаунты с двухфакторной аутентификацией не пострадали.
