Компанія Meta підтвердила, що зловмисники захопили 20 225 акаунтів Instagram, скориставшись вразливістю у ШІ-системі підтримки користувачів для несанкціонованого скидання паролів.
Атака стала можливою через ваду в інструменті High Touch Support (HTS) — ШІ-системі підтримки, яка допомагає користувачам відновити доступ до заблокованих акаунтів Instagram. Інструмент не перевіряв, чи привʼязана вказана електронна адреса до конкретного акаунта, тож ініціатори загроз отримували посилання для скидання пароля й могли входити до чужих профілів та захоплювати їх — за умови, що власник не увімкнув двофакторну автентифікацію (2FA).
Як працювала вразливість
За поясненням Meta, сам інструмент функціонував коректно, проте через помилку в окремій частині коду система не звіряла надану електронну адресу з тією, що привʼязана до акаунта Instagram.
«Коли людина вказувала електронну адресу, раніше не повʼязану з акаунтом, система помилково надсилала посилання для скидання пароля на цю сторонню адресу замість того, щоб відхилити запит», — зазначила Ембер Ханна, заступниця головного юрисконсульта Meta з юридичного супроводу реагування на інциденти, у повідомленні про витік даних, поданому до офісу генерального прокурора штату Мейн.
Це дозволяло стороннім особам отримувати посилання для скидання пароля до акаунтів, якими вони не володіли. Після зміни пароля зловмисник міг увійти до профілю, якщо власник не активував 2FA.
Коли стався інцидент
Meta виявила вразливість 31 травня 2026 року. У поданні на сайті офісу генпрокурора Мейну датою інциденту вказано 17 квітня — імовірно, день першої атаки з використанням вади HTS. Отже, відкритий доступ зберігався близько семи тижнів, а сама компанія помітила проблему лише наприкінці травня.
Кожному штату Meta надіслала окремий лист із кількістю постраждалих місцевих користувачів. Наприклад, у документі для Мейну йдеться про 30 акаунтів у цій юрисдикції, тоді як загальна кількість скомпрометованих акаунтів — 20 225.
Які дані могли постраждати
Компанія заявила, що не має відомостей про те, яку саме особисту інформацію могли переглянути чи викрасти. Водночас Meta припустила, що зловмисники могли отримати доступ до:
- контактних даних — електронної адреси та/або номера телефону;
- дати народження;
- дописів і контенту — фото, відео, історій;
- особистих повідомлень і листування;
- історії активності та взаємодій в акаунті;
- інформації профілю — біографії та фото профілю;
- інших повʼязаних акаунтів і підключених сервісів.
Реакція Meta
Після виявлення інциденту компанія вимкнула ШІ-систему HTS та анулювала всі згенеровані нею посилання для скидання пароля, щоб заблокувати подальші спроби захоплення акаунтів у межах тієї самої кампанії. Усі потенційно скомпрометовані акаунти примусово направили на контрольну перевірку безпеки, а постраждалих користувачів попросили повторно змінити паролі та пройти автентифікацію, щоб відновити контроль над профілями.
«Перед повторним запуском інструмента Meta виправить перевірку автентифікації у точці входу для відновлення акаунтів Instagram, щоб гарантувати належне звіряння електронних адрес із наявними даними акаунта до ініціювання скидання пароля» — повідомили в компанії
Окремо Meta проводить комплексний аудит схожих механізмів відновлення доступу на інших своїх платформах, щоб виявити й усунути потенційні проблеми. Нагадаємо, що в березні компанія оголосила про розгортання ШІ-підтримки для всіх акаунтів Facebook та Instagram із можливістю скидати паролі й виконувати інші критичні дії з обслуговування акаунтів — саме такий обсяг повноважень і зробив наслідки вади настільки відчутними.
Не перший штраф для Meta
Це не перший випадок, коли Meta стикається з наслідками проблем із захистом даних. У грудні 2024 року Ірландська комісія із захисту даних (DPC) оштрафувала компанію на €251 млн (близько $264 млн) за витік даних 2018 року, що розкрив імена, електронні адреси, номери телефонів і місцеперебування понад 29 млн акаунтів Facebook.
Раніше, у листопаді 2022 року, Meta оштрафували на €265 млн ($275,5 млн) за неспроможність захистити дані користувачів Facebook від скрейпингу, а також на €91 млн ($100 млн) — за зберігання паролів сотень мільйонів користувачів у відкритому вигляді.
Як захистити свій акаунт Instagram
- Увімкніть двофакторну автентифікацію (2FA). Саме її відсутність дозволяла зловмисникам входити до акаунтів після скидання пароля. Надавайте перевагу автентифікації через застосунок-генератор одноразових кодів, а не через SMS.
- Перевірте активні сесії та пристрої в налаштуваннях безпеки Instagram і завершіть ті, які не впізнаєте.
- Перегляньте електронні адреси й номери телефонів, привʼязані до акаунта, та видаліть невідомі.
- Якщо ви отримали несподіване посилання для скидання пароля, якого не запитували, не переходьте за ним і встановіть надійний унікальний пароль.
- Регулярно переглядайте журнал входів і реагуйте на сповіщення про входи з нових пристроїв.
