*Meta AI научились использовать для угона чужих *Instagram-аккаунтов

В системе восстановления аккаунтов *Instagram, связанной с ИИ-ассистентом *Meta AI, обнаружили уязвимость. Злоумышленники использовали ее для обхода проверки личности и получения кодов сброса пароля.

По словам экспертов из ZachXBT и Dark Web Informer, атака позволяла через диалог с ИИ заставить систему отправлять коды восстановления на неподтвержденные адреса. Без дополнительных проверок владельца аккаунта.

Как работала атака

Суть уязвимости заключалась не во взломе серверов *Meta, а в логике самого ИИ-ассистента.

Если верить объяснению дыры от самих исследователей, злоумышленники обращались к *Meta AI как к инструменту поддержки и под видом легитимного запроса инициировали отправку письма для сброса пароля. 

В некоторых случаях система не требовала дополнительной верификации личности.

Это позволяло обходить стандартную защиту, включая сценарии, где аккаунт не был защищен двухфакторной аутентификацией.

Почему это стало возможным

Проблема возникла из-за того, что ИИ-система имела доступ к функциям восстановления аккаунта, но не обладала достаточными ограничениями на уровне логики:

• не всегда проверялась подлинность пользователя;
• отсутствовали жесткие ограничения на частоту запросов;
• ИИ мог интерпретировать инструкции как легитимные действия.

Какие аккаунты пострадали

По сообщениям исследователей, атакующие целенаправленно выбирали ценные аккаунты с короткими именами пользователей — такие логины высоко ценятся на теневом рынке.

Некоторые из них, включая редкие никнеймы, оценивались в сотни тысяч долларов и быстро перепродавались через закрытые Telegram-каналы.

Реакция *Meta

Компания заявила, что проблема уже устранена. По официальной версии, речь не шла о взломе серверов или утечке данных. *Meta подчеркнула, что пострадавшие пользователи могут игнорировать подозрительные письма о сбросе пароля.

*Компания Meta и ее продукты признаны экстремистскими, их деятельность запрещена на территории РФ