Kellemetlen biztonsági problémát volt kénytelen sürgősen javítani az Instagram, miután kiderült, hogy támadók a Meta mesterséges intelligenciával működő ügyfélszolgálati chatbotját kihasználva szerezhettek hozzáférést más felhasználók fiókjaihoz. Az eset a hétvégén kapott nagyobb figyelmet, amikor több felhasználó is arról számolt be különböző közösségi platformokon, hogy illetéktelenek vették át Instagram-fiókjuk felett az irányítást. Az érintettek között nemcsak hétköznapi felhasználók voltak, hanem ismert és hivatalos profilok is. A kompromittált fiókok között szerepelt például Barack Obama régi fehér házi Instagram-oldala, valamint John Bentivegna, az Amerikai Űrhaderő vezető altisztjének profilja is.
Az áldozatok között volt Jane Wong biztonsági kutató is, aki szerint jelszavát a tudta nélkül módosították, miközben folyamatosan érkeztek hozzá különböző jelszó-visszaállítási kísérletekről szóló értesítések.
A nyilvánosságra került információk alapján a támadási módszer meglepően egyszerű volt. A hackerek állítólag VPN segítségével először olyan földrajzi helyet szimuláltak, amely megfelelt a célpont feltételezett tartózkodási helyének, így kisebb eséllyel aktiválódtak az Instagram automatikus védelmi rendszerei.
Ezt követően kapcsolatba léptek a Meta AI Support Assistant nevű ügyfélszolgálati chatbotjával, és arra vették rá a rendszert, hogy egy új e-mail-címet kapcsoljon a kiszemelt Instagram-fiókhoz. A chatbot a megadott e-mail-címre küldött egy hitelesítő kódot, amelyet a támadó egyszerűen visszaírt a beszélgetésbe. A folyamat végén a rendszer felajánlotta a jelszó-visszaállítás lehetőségét, így a támadó új jelszót állíthatott be, és teljes hozzáférést szerezhetett a fiókhoz.
A legaggasztóbb részlet, hogy a támadás során nem volt szükség az eredeti tulajdonos e-mail-fiókjának feltörésére. A rendszer gyakorlatilag lehetővé tette, hogy egy teljesen új e-mail-cím hozzáadásával és ellenőrzésével megkerüljék a normál fiókvédelmi folyamatot.
A TechCrunch beszámolója szerint az újságírók ellenőrizni tudták a módszer működését, és megerősítették, hogy a támadó által használt nyilvános postafiók valóban megkapta a chatbot által küldött hitelesítő kódot.
Az Instagram szóvivője, Andy Stone hétfőn megerősítette, hogy a hibát időközben kijavították. Arról azonban egyelőre nem közöltek információt, pontosan hány felhasználó fiókját érinthette a sérülékenység. A Meta a sajtó megkeresésére további részleteket egyelőre nem osztott meg, így az sem ismert, pontosan milyen módosításokat hajtottak végre a chatbot működésében annak érdekében, hogy hasonló támadások a jövőben ne fordulhassanak elő.
A módszerről még videó is készült, ami az X-en akadálytalanul terjedhetett. Ezzel értelemszerűen nem lehet már visszaélni a javítást követően, de érdekességként meg lehet nézni.
🚨 Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer) June 1, 2026
