Хакеры использовали уязвимость Meta AI и захватили сотни Instagram‑аккаунтов, включая страницу белого дома обамы

За выходные злоумышленники через баг в Meta AI перевели чужие Instagram‑аккаунты на посторонние e‑mail, сбрасывали пароли и получали полный доступ; пострадали «сотни» профилей, в том числе страница Белого дома Обамы и аккаунты крупных организаций и

За выходные хакеры воспользовались уязвимостью в чат‑боте Meta AI и получили контроль над «сотнями» Instagram‑аккаунтов, включая страницу Белого дома Обамы — неактивную более девяти лет — которую затем заполнили изображениями и сообщениями в поддержку Ирана. Инцидент показал, что автоматизация функций сброса паролей может позволить злоумышленникам быстро масштабировать атаки и менять владельцев аккаунтов без непосредственного вмешательства службы безопасности.

По доступным инструкциям злоумышленники добивались от Meta AI привязки к целевому профилю стороннего адреса электронной почты, после чего на этот адрес приходил одноразовый код подтверждения. Получив код, атакующие пользовались им для подтверждения привязки и сброса пароля, что давало полный доступ к учётной записи. Эксплойт опирался именно на последовательность: просьба боту привязать новый e‑mail → получение кода на этот e‑mail → сброс пароля и вход в профиль.

В атаке применялись VPN‑подключения с IP‑адресами в или рядом с предполагаемым «родным» городом цели, чтобы обойти простые географические проверки, что облегчало подтверждение легитимности запросов. Точная численность скомпрометированных аккаунтов неизвестна, но пострадали «сотни» профилей — среди них Office of the Chief Master Sergeant of the U.S. Space Force, розничная сеть Sephora и исследователь безопасности Джейн Вонг. Джейн Вонг описала свои наблюдения в соцсетях: "The password got changed without my knowledge and I was getting different password reset attempts throughout yesterday" и сообщила о повторяющихся попытках входа и выхода в iOS‑приложении Instagram. Такие сообщения подтверждают, что атакующие не ограничивались «новыми» или слабо защищёнными аккаунтами, а добирались и до верифицированных или «закрытых» профилей.

Инцидент произошёл примерно через три месяца после того, как Meta передала часть задач по обслуживанию клиентов, включая сброс забытых паролей, системам на базе ИИ — и это усилило вопросы о надежности полной автоматизации процессов безопасности. Представитель Meta Энди Стоун написал в соцсетях: "This issue has been resolved and we are securing impacted accounts." Компания сообщила, что уязвимость устранена и ведётся работа по защите затронутых профилей. в сети распространялись пошаговые инструкции по эксплуатации уязвимости, что, вероятно, ускорило масштабирование атак до сотен аккаунтов за короткий срок. Эксперты по безопасности предупреждают, что сочетание полностью автоматизированных операций привязки почты, проверки доступа и сброса пароля без человеко‑проверки создаёт риски, которые следует учитывать при проектировании систем управления учётными записями.