AI-чатбот Meta помог хакерам захватить аккаунты Instagram, включая Белый дом

AI-чатбот поддержки Meta был успешно использован хакерами для захвата Instagram-аккаунтов через простой социальный инжиниринг. Уязвимость позволяла любому получить доступ к чужому профилю, просто попросив чатбот изменить привязанный email-адрес и сбросить пароль.

Как работала эксплуатация

Хакеры опубликовали видео на Telegram, демонстрирующие процесс взлома шаг за шагом. Атака начиналась с обращения к AI-чатботу поддержки Meta. Хакер просил помощь якобы для восстановления доступа к аккаунту, не предоставляя при этом достаточной верификации. AI-система, не защищённая от социального инжиниринга, выполняла все просьбы. Чатбот менял email-адрес, привязанный к целевому профилю, на адрес хакера. После этого оставалось сбросить пароль через стандартный способ восстановления — отправить код подтверждения на новый email. Таким образом, полный контроль над аккаунтом переходил в руки злоумышленника. Процесс был настолько прост, что его мог повторить кто угодно. Хакеры даже не пытались скрывать методику, поделившись видеодоказательством в открытом доступе.

Взломаны высокопрофильные аккаунты

Уязвимость коснулась не только обычных пользователей, но и защищённых государственных профилей: Официальный аккаунт Белого дома @obamawhitehouse с 10+ миллионами подписчиков Аккаунт начальника ВВС США (Chief Master Sergeant) * Другие высокопрофильные корпоративные и государственные профили После захвата аккаунта Белого дома взломщики начали публиковать посты с иранской пропагандой. Инцидент быстро привлёк внимание мировых медиа, став свидетельством уровня уязвимости даже самых защищённых профилей.

Позиция

Meta и исправление Meta оперативно признала проблему и заявила, что уязвимость уже была исправлена. Компания подтвердила, что эксплуатация действительно была возможна через функцию поддержки и что были внедрены дополнительные защиты.

«Мы уже запатчили эту уязвимость», — заявила Meta в официальном комментарии.

Однако компания осталась скупа на детали. Остаётся неясным, была ли улучшена верификация владельца аккаунта в чатботе, или изменена сама логика работы AI-системы. Не раскрыла Meta и сроки обнаружения проблемы.

Что это значит Инцидент демонстрирует критическую уязвимость в доверии пользователей к AI-системам.

Когда даже защищённый аккаунт правительства США может быть захвачен через несколько вопросов к чатботу — это сигнал, что AI-поддержка нуждается в коренном пересмотре подходов к верификации. Для обычных пользователей урок ясен: нужно защищать не только пароли, но и привязанные email-адреса. Обращение к AI-чатботам с личными данными требует максимальной осторожности. *Meta признана экстремистской организацией и запрещена в РФ.