В системе восстановления аккаунтов *Instagram, связанной с ИИ-ассистентом *Meta AI, обнаружили уязвимость. Злоумышленники использовали ее для обхода проверки личности и получения кодов сброса пароля.
По словам экспертов из ZachXBT и Dark Web Informer, атака позволяла через диалог с ИИ заставить систему отправлять коды восстановления на неподтвержденные адреса. Без дополнительных проверок владельца аккаунта.
Как работала атака
Суть уязвимости заключалась не во взломе серверов *Meta, а в логике самого ИИ-ассистента.
Если верить объяснению дыры от самих исследователей, злоумышленники обращались к *Meta AI как к инструменту поддержки и под видом легитимного запроса инициировали отправку письма для сброса пароля.
В некоторых случаях система не требовала дополнительной верификации личности.
Это позволяло обходить стандартную защиту, включая сценарии, где аккаунт не был защищен двухфакторной аутентификацией.
Читают прямо сейчас:
Что такое фишинг: виды фишинговых атак и как от них защититься — разбираем, как мошенники крадут доступы к аккаунтам через письма, поддельные страницы, звонки и сообщения.
Как устроена и зачем нужна двухфакторная аутентификация — как работает дополнительная проверка входа и почему одного пароля уже недостаточно.
Кибербезопасность: какие бывают уязвимости и как от них защититься — большой разбор слабых мест в программах, эксплойтов и атак, которые используют эти бреши.
CSRF-атака: что это такое, как работает и как защититься — как веб-приложение может выполнить опасный запрос без пароля и почему важно проверять, откуда пришло действие.
Почему это стало возможным
Проблема возникла из-за того, что ИИ-система имела доступ к функциям восстановления аккаунта, но не обладала достаточными ограничениями на уровне логики:
- не всегда проверялась подлинность пользователя;
- отсутствовали жесткие ограничения на частоту запросов;
- ИИ мог интерпретировать инструкции как легитимные действия.
Какие аккаунты пострадали
По сообщениям исследователей, атакующие целенаправленно выбирали ценные аккаунты с короткими именами пользователей — такие логины высоко ценятся на теневом рынке.
Некоторые из них, включая редкие никнеймы, оценивались в сотни тысяч долларов и быстро перепродавались через закрытые Telegram-каналы.
Реакция *Meta
Компания заявила, что проблема уже устранена. По официальной версии, речь не шла о взломе серверов или утечке данных. *Meta подчеркнула, что пострадавшие пользователи могут игнорировать подозрительные письма о сбросе пароля.
*Компания Meta и ее продукты признаны экстремистскими, их деятельность запрещена на территории РФ
ЧИТАЙТЕ НОВОСТИ В ТГ
Нравятся наши новости? Получайте их первыми — мы каждый день отбираем лучшее из всего, что происходит в IT, чтобы вы ничего не пропустили. ССЫЛКА на подписку (можно просто кликнуть) — ждём внутри канала :)
А ещё…сохраните промокод Практикума на любой платный курс: KOD. Он даст скидку при покупке и позволит сэкономить на обучении.
Бесплатные курсы в Практикуме тоже есть — по всем специальностям и направлениям.
