Чат-бот Meta зламав захист Instagram — двофакторна автентифікація не врятувала

У грудні 2025 року Meta з гордістю представила нового ШІ-асистента підтримки, який мав зробити відновлення доступу до Facebook та Instagram «швидшим і простішим». Схоже, компанія навіть перевиконала обіцянку — але зовсім не так, як планувала, пише Engadget.

Читайте также: Без кранів у пустелі. Першу в Африці турбіну потужністю 6 МВт встановили в умовах екстремальних вітрів

Саме цей інструмент хакери використали для масового захоплення чужих акаунтів в Instagram. За словами дослідників з кібербезпеки, чат-бот надзвичайно спростив зловмисникам доступ до профілів — і навіть двофакторна аутентифікація не стала перешкодою.

Як працював злам

Протягом вихідних численні дослідники безпеки почали бити тривогу в соцмережі X. У Telegram активно поширювались детальні інструкції, скриншоти та відео, які демонстрували спосіб захоплення акаунтів. Судячи з матеріалів, хакерам було достатньо попросити ШІ-бота підтримки змінити e-mail, прив’язаний до потрібного акаунта, а потім ініціювати скидання пароля.

Як з’ясувалося, чат-бот орієнтувався на геолокацію власника профілю для надання підтримки. Щоб обійти цей захист, зловмисникам достатньо було підключити VPN із локацією жертви. Тобто для успішного зламу потрібні були лише знання потрібного нікнейму та VPN-сервіс — без жодних складних технічних маніпуляцій.

Реакція Meta

Компанія усунула вразливість, однак не розкрила, скільки акаунтів постраждало до виходу патча. Віце-президент Meta з комунікацій Енді Стоун лаконічно повідомив у X: «Проблему вирішено, ми захищаємо постраждалі акаунти».

Читайте также: Джастін Бібер Розлучення: Подробиці особистого життя і кар’єри

При цьому обговорення цієї вразливості в Telegram тривало щонайменше з березня — тобто вікно можливостей для зловмисників було відкрите понад два місяці.

Хто постраждав

Під хвилю зламів потрапив @.obamawhitehouse — архівований офіційний Instagram Білого дому часів Обами (2.4 млн підписників). Хакери опублікували пропаганду, згенеровану ШІ: «Білий дім під контролем шиїтів», плюс історії, заповнені зображеннями іранського генерала Касема Сулеймані. Серед інших ймовірних жертв — косметичний ритейлер Sephora та один із високопосадовців Космічних сил США.

Парадокс зручності

Ця ситуація наочно демонструє, як надмірне спрощення процесів безпеки може обернутися катастрофою. Meta робила ставку на те, що система розпізнавання пристроїв і геолокації є достатньою гарантією — і саме це перетворилося на її найслабше місце. Функція, покликана допомагати реальним користувачам швидко відновити доступ, стала зручним інструментом для тих, хто хотів отримати цей доступ незаконно.

Нагадаємо, кілька тижнів тому Meta запустила Instants — миттєвий обмін фотографіями в Instagram.

Читайте также: Віком близько 17 тисяч років. У печері у Британії дослідили найдавніший зразок наскельного мистецтва

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn