Meta уведомляет тысячи людей, чьи аккаунты в Instagram угнали за последние несколько месяцев. Всё это время хакеры злоупотребляли ИИ-чатботом компании, который по их просьбе передавал управление аккаунтом злоумышленникам.
Компания раскрыла число пострадавших в уведомлении об утечке данных, поданном в офис генпрокурора штата Мэн. Речь как минимум о 20 225 пользователях, чьи аккаунты были скомпрометированы. Из них 30 человек живут в Мэне.
В уведомлении сказано, что взломщики получали полный доступ к аккаунту жертвы и всем связанным профилям. Они могли смотреть контактную информацию, даты рождения, посты, личные сообщения и историю действий.
Meta подтвердила, что проблема связана с «уязвимостью в системе восстановления аккаунтов на базе ИИ для Instagram». Атака работала так: хакеры просили чатбота сбросить пароль любого аккаунта, где не была включена двухфакторная аутентификация. Бот отправлял код сброса на email, который указывал злоумышленник, а не на почту владельца. Система просто не проверяла, совпадает ли переданный адрес с тем, что привязан к аккаунту.
«Инструмент работал как надо, но из-за бага в отдельном участке кода он не проверял email», — пояснили в Meta. В итоге любой мог запросить сброс пароля для чужого профиля и получить ссылку на свою почту.
Meta заявляет, что не знает, какие именно личные данные успели украсть хакеры. Атаки начались примерно 17 апреля и продолжались до этой недели — когда компания наконец закрыла уязвимость. Instagram уже начал рассылать пострадавшим уведомления с требованием сменить пароль и пройти повторную аутентификацию.
Сейчас Meta отключила проблемного чатбота, удалила код, который позволял ему сбрасывать аккаунты, и проверяет другие чатботы на платформах компании, чтобы не допустить повторения инцидента. Примечательно, что всё это произошло вскоре после массовых увольнений сотрудников и выдачи крупных бонусов топ-менеджерам — на фоне ставки компании на искусственный интеллект.