ШІ-чатбот підтримки Meta, який мав спростити відновлення доступу до Facebook та Instagram, перетворився на інструмент масового викрадення облікових записів. За даними дослідників безпеки, зловмисники змогли захоплювати акаунти Instagram буквально через кілька запитів до помічника — навіть тоді, коли власник користувався двофакторною автентифікацією. Компанія заявляє, що вразливість уже закрита, а постраждалі акаунти захищають.
- Від обіцянок до вразливості: як інструмент підтримки став засобом атак
- Як працювала атака: запит до чатбота замість злому
- VPN і геолокація: як хакери обходили перевірки Meta
- Реакція Meta: вразливість закрито, постраждалі акаунти захищають
- Масштаб проблеми: від Білого дому до Sephora
- Як захистити свій акаунт Instagram: базові рекомендації
Від обіцянок до вразливості: як інструмент підтримки став засобом атак
У грудні 2025 року Meta анонсувала новий ШІ-помічник підтримки, який мав зробити процес відновлення доступу до Facebook та Instagram «швидшим і простішим» для тих, хто втратив контроль над своєю сторінкою. Через пів року з’ясувалося, що компанія, м’яко кажучи, перевиконала обіцянку: той самий інструмент став зручним каналом для зловмисників, які використовували його для перехоплення популярних акаунтів Instagram.
Як зазначають дослідники безпеки, ШІ-помічник зробив викрадення облікових записів настільки простим, що навіть наявність двофакторної автентифікації не була для атакувальників серйозною перешкодою.
Як працювала атака: запит до чатбота замість злому
Перші повідомлення про вразливість з’явилися у вихідні в X — її одночасно зафіксували одразу кілька незалежних дослідників. Деталі схеми, а також скриншоти та відеозаписи, що демонструють процес захоплення акаунтів, активно поширювалися у Telegram-каналах.
Судячи з оприлюднених матеріалів, механіка атаки була максимально простою: зловмисник звертався до ШІ-помічника підтримки з проханням змінити електронну пошту, до якої прив’язано потрібний обліковий запис, а потім запитував скидання пароля. Жодних експлойтів, шкідливого ПЗ чи технічно складних маніпуляцій — лише соціальна інженерія в інтерфейсі чатбота.
За даними видання 404 Media, користувачі профільних Telegram-спільнот обговорювали цю вразливість щонайменше з березня 2026 року.
VPN і геолокація: як хакери обходили перевірки Meta
Деталей про те, чому ШІ-інструмент мав настільки серйозну прогалину в безпеці, Meta офіційно не розкриває. Проте, як з’ясували дослідники, ключову роль у схемі відігравала географічна прив’язка. Чатбот покладався на фізичне розташування власника акаунта як на один з основних факторів верифікації запиту.
За інформацією видання Neowin, для успішної атаки зловмисники використовували VPN, щоб імітувати геолокацію, яка збігалася з типовим місцем знаходження жертви. Цього було достатньо, щоб ШІ-помічник сприйняв атакувальника за справжнього власника облікового запису.
Іронія ситуації в тому, що саме на цю «розумну» перевірку Meta робила акцент у грудневій презентації інструменту: «Наші системи розпізнають пристрій, яким ви зазвичай користуєтесь, і знайомі локації краще, ніж будь-коли», — йшлося в офіційному блозі компанії.
Реакція Meta: вразливість закрито, постраждалі акаунти захищають
Meta підтвердила наявність проблеми та повідомила, що її вже усунули. Скількох користувачів встигли скомпрометувати до закриття вразливості — невідомо.
У коментарі для видання Engadget компанія послалася на публікацію віцепрезидента з комунікацій Енді Стоуна в X: «Цю проблему вирішено, ми працюємо над захистом постраждалих акаунтів».
Масштаб проблеми: від Білого дому до Sephora
Точна кількість захоплених через ШІ-помічник акаунтів офіційно не розкривається, проте хронологія інцидентів збігається з помітною хвилею зломів високопрофільних облікових записів в Instagram.
Серед постраждалих — офіційний акаунт Білого дому часів адміністрації Барака Обами. Сторінка, яка не публікувала нічого з 2017 року, несподівано опублікувала згенероване штучним інтелектом зображення з відповідним підписом політичного характеру, повідомляє TMZ. Meta підтвердила злом, але не розкрила ані технічних деталей, ані потенційних виконавців.
За даними 404 Media, серед інших ймовірно скомпрометованих акаунтів — сторінка мережі косметичних магазинів Sephora та обліковий запис високопосадовця Космічних сил США.
Як захистити свій акаунт Instagram: базові рекомендації
Конкретно цю вразливість користувач самостійно усунути не міг — її експлуатували на боці систем підтримки Meta. Однак інцидент вкотре показує, що навіть двофакторна автентифікація не є абсолютною гарантією безпеки, якщо вектор атаки лежить поза межами акаунта. Щоб мінімізувати ризики, варто дотримуватися кількох простих правил.
По-перше, увімкніть двофакторну автентифікацію через додаток-генератор кодів (наприклад, Google Authenticator, Microsoft Authenticator або Authy), а не через SMS — це надійніший метод. По-друге, регулярно перевіряйте список активних сесій та підключених пристроїв у налаштуваннях безпеки Instagram і завершуйте підозрілі сеанси. По-третє, переконайтеся, що електронна пошта, прив’язана до акаунта, також захищена двофакторною автентифікацією та має складний унікальний пароль — компрометація пошти зазвичай означає й втрату соцмережі.
Окремо варто переглянути перелік сторонніх застосунків, яким надано доступ до облікового запису, і відкликати непотрібні дозволи. Якщо ви помітили підозрілу активність — невідомий вхід, зміну email або пароля без вашої участі — слід негайно скористатися офіційними інструментами відновлення доступу від Meta та звернутися до підтримки.
Користувачам в Україні, які зіткнулися з викраденням акаунта або шахрайством у соцмережах, варто додатково повідомити про інцидент Кіберполіцію через офіційний сайт cyberpolice.gov.ua.
