Вчера взломали кучу аккаунтов в Instagram, включая такой заметный, как Obama White House. Метод настолько тупой, что даже не смешно.
Атакующему нужен только username жертвы. Берёт его из профиля, берёт VPN в том же городе — и всё, алгоритмы Meta думают, что запрос легитимный. Дальше он просто пишет в поддержку AI Meta, говорит, что аккаунт взломан, и просит отправить код верификации на произвольный email — свой собственный. И AI отправляет.
Вот и вся атака. Никакой проверки, был ли этот email у пользователя раньше. Нет. Атакующий получает код, вводит его обратно в форму — платформа выдаёт ссылку на сброс пароля. Доступ получен. Иногда AI просит видео-селфи для подтверждения личности, но сейчас он не особо разборчив: хватает даже анимированной AI-фотки из ленты жертвы.
2FA тут не спасает. Система воспринимает этот флоу как полный сброс «истинным» владельцем, поэтому двухфакторка просто сносится. Все сессии выкидываются, пароль меняется — и никаких уведомлений владельцу по email, SMS или push. Почта и телефон теперь принадлежат атакующему, так что легитимный владелец не может запустить восстановление. Ему остаётся только ругаться с AI-чатом в надежде вернуть контроль — и молиться, чтобы это не повторилось. Если ваш аккаунт попал в A/B-тест, где эта AI-поддержка активна, отключить её нельзя.
В Telegram уже появились чёрные рынки, продающие «услуги по угону» — дорого и быстро, особенно с учётом того, что короткие ники стоят сотни тысяч и даже миллионы долларов. Аккаунты угоняли для пропаганды (тот же obamawhitehouse, ocmssf — Chief Master Sergeant of the U.S. Space Force) и просто для перепродажи.
Сейчас Telegram-группы притихли — Meta, похоже, уже пофиксила дыру. Но метод работал неделями, если не месяцами. Компания с капитализацией в полтора триллиона долларов не смогла сделать нормальные рельсы безопасности, и их AI-поддержка просто меняла email любому, кто вежливо попросит. Это настолько страшно, что почти смешно.