Útočníci přebírali účty na Instagramu zneužitím chatbota Meta AI Support Assistant — ten na základě podvodného požadavku sám odeslal ověřovací kód útočníkovi a umožnil změnu hesla bez přístupu k původní e-mailové adrese majitele účtu.
Jak útok fungoval krok za krokem
Útočník nejprve přes VPN změnil zdánlivou polohu zařízení, aby obešel automatickou ochranu Instagramu. Poté otevřel chat s Meta AI Support Assistant a požádal bota o přidání nové e-mailové adresy k cizímu účtu.
Chatbot odeslal ověřovací kód na e-mail zadaný útočníkem — ne na adresu skutečného majitele účtu. Útočník kód sdělil chatbotovi zpět, ten zobrazil tlačítko pro reset hesla a útočník převzal plnou kontrolu nad účtem.
TechCrunch ověřil, že veřejná e-mailová schránka útočníka zobrazená na videu ověřovací kód skutečně obdržela.
„Heslo mi změnili bez mého vědomí a celý den mi chodily pokusy o reset…“ — Jane Wong, bezpečnostní výzkumnice
Mezi kompromitovanými účty byl instagramový profil Bílého domu z doby Obamovy administrativy, neaktivní od roku 2017, a účet hlavního velitele poddůstojníků americké Vesmírné síly Johna Bentivegny.
Meta chybu opravila, rozsah útoku nezveřejnila
Mluvčí Instagramu Andy Stone v pondělí potvrdil opravu chyby v reakci na příspěvky postižených uživatelů. Počet napadených účtů Meta nezveřejnila.
Klíčovým rysem útoku bylo, že útočník v žádném momentu nepotřeboval přístup k e-mailové adrese skutečně přiřazené k napadenému účtu — celý proces zajistil chatbot sám.
Uživatelé varovali před útoky na síti X a Redditu již o víkendu před tím, než Meta chybu opravila.
Pokud uživatel obdrží neočekávaný ověřovací kód nebo e-mail o pokusu o reset hesla na Instagramu, jde o možný signál probíhajícího pokusu o převzetí účtu.