Чат-бот Instagram сам віддавав хакерам чужі профілі: тисячі акаунтів під загрозою
Хакери обвели навколо пальця ШІ від Meta (фото: Unsplash)
Meta випустила екстрене виправлення для свого нового ШІ-чат-бота підтримки через масштабну хвилю хакерських атак. Зловмисники місяцями використовували вразливість для викрадення тисяч облікових записів, серед яких опинилися навіть офіційні сторінки Білого дому часів президенства Барака Обами та керівництва Космічних сил США.
Про це повідомляє РБК-Україна з посиланням на пост кібераналітика ZachXBT на платформі X.
Як хакери змусили чат-бот Meta AI працювати на себе?
Компанія запустила службу підтримки Meta AI у березні 2026 року, пообіцявши надійну допомогу в режимі 24/7. Проте інструмент став знахідкою для зловмисників через класичну помилку безпеки, коли програма з високими правами доступу виконує небезпечні дії за вказівкою сторонніх осіб. Замість складного зламного коду хакерам вистачило звичайних слів.
Механіка та покроковий процес атаки
Відео з детальними інструкціями "шокуюче простого" зламу активно поширювалися у тематичних Telegram-каналах.
Схема виглядала так:
Обхід геоблокування: хакер запускав звичайний VPN, щоб підробити своє розташування та приблизно підлаштуватися під регіон жертви. Це допомагало не тригерити автоматичні системи безпеки Instagram.
Запит до бота: зловмисник відкривав чат із підтримкою Meta AI та просив робота змінити електронну пошту, прив'язану до потрібного акаунта.
Зміна даних: ШІ-асистент без зайвих перевірок надсилав код підтвердження на нову поштову скриньку хакера. Той вводив код у чат, після чого робот виводив пряму кнопку "Скинути пароль". Власник втрачав доступ до сторінки без жодних попереджень на свій справжній email.
Масштаб зламу
За даними аналітиків Neowin, схема працювала ще з лютого цього року. За цей час було скомпрометовано тисячі сторінок.
Особливого розголосу історія набула після зламу відомих дослідників безпеки, як-от Джейн Манчун Вонг, та урядових профілів. Наприклад, на сторінці архіву Білого дому часів президентства Обами та керівника Космічних сил Джона Бентівегни після зламу з'явилися проіранські гасла та картинки.
It’s likely because there was a massive Instagram / Meta exploit over the weekend that was just patched.
— ZachXBT (@zachxbt) June 1, 2026
Basically the Meta AI support is garbage and has lots of access perms which allowed you to reset passwords to any user without 2FA and did not verify who you are.
Telegram…
Також під удар потрапили короткі та рідкісні нікнейми (на кшталт @hey та @jowo). Відомі розслідувачі ZachXBT та Dark Web Informer підтвердили, що такі імена хакери масово перепродавали на сірому ринку. Вартість лише двох згаданих профілів оцінюють у понад 1 мільйон доларів.
Як захиститися - висновки експертів
Представник Instagram Енді Стоун заявив, що проблему вже усунули за допомогою екстреного патчу. Проте розслідування KrebsOnSecurity показало важливу деталь: атака повністю провалювалася, якщо у власника сторінки була увімкнена двофакторна автентифікація (MFA). Навіть найпростіші одноразові коди у SMS рятували профіль, оскільки ШІ-бот не міг їх перехопити.
Кіберексперти з групи CyberSec Guru зазначають, що інцидент підкреслює величезні ризики, пов'язані з поспішним впровадженням алгоритмів штучного інтелекту. Вони рекомендують компаніям не давати мовним моделям прямі права на зміну критичних даних користувачів без жорстких технічних обмежень та додаткових офлайн-перевірок.
Наразі офіційні представники Meta утримуються від коментарів.
