Hakerzy przejęli konta na Instagramie. Wykorzystali chatbota Mety

Seria przejęć znanych kont na Instagramie ujawniła poważny problem w systemie wsparcia Mety. Według ustaleń mediów technologicznych hakerzy mieli manipulować chatbotem opartym na sztucznej inteligencji, by zmieniał adres e-mail przypisany do cudzego konta. Meta przekazała, że problem został rozwiązany, a firma zabezpiecza konta objęte incydentem.

Sprawa dotyczyła m.in. kont o dużej rozpoznawalności i wartości. Wśród przejętych profili wymieniano m.in. dawne konto Białego Domu z czasów administracji Baracka Obamy, konto marki Sephora oraz profil związany z przedstawicielem amerykańskich Sił Kosmicznych.

Według relacji poszkodowanych i nagrań krążących w sieci, atakujący nie musieli łamać hasła w klasyczny sposób. Wykorzystywali procedurę odzyskiwania dostępu do konta i kontakt z automatycznym systemem wsparcia Mety.

Mechanizm ataku miał polegać na przekonaniu chatbota, aby powiązał wskazane konto z nowym adresem e-mail kontrolowanym przez hakera. Po takiej zmianie atakujący mogli uruchomić reset hasła i przejąć dostęp do profilu.

W części przypadków hakerzy mieli korzystać także z VPN, by ich lokalizacja wyglądała na zbliżoną do lokalizacji właściciela konta. To mogło zwiększać szanse powodzenia procedury odzyskiwania dostępu.

Meta potwierdziła, że zna sprawę i podjęła działania naprawcze. Przedstawiciele firmy przekazali, że luka została usunięta, a konta dotknięte incydentem są zabezpieczane.

Sprawa wywołała jednak szerszą dyskusję o tym, jak daleko firmy technologiczne powinny automatyzować obsługę kont użytkowników. Eksperci wskazują, że systemy AI nie powinny samodzielnie podejmować decyzji dotyczących zmiany kluczowych danych profilu, jeśli nie towarzyszy temu mocna weryfikacja tożsamości.

W opisywanym przypadku problem nie polegał na typowym phishingu ani na wycieku haseł. Kluczowe znaczenie miała procedura odzyskiwania konta i uprawnienia, jakie otrzymał automatyczny system wsparcia.

Cyberbezpiecznicy wskazują, że to przykład ryzyka związanego z przekazywaniem narzędziom AI zadań administracyjnych. Jeśli chatbot może zmienić adres e-mail, rozpocząć reset hasła albo obejść część zabezpieczeń, staje się potencjalnym celem manipulacji.

Po serii przejęć eksperci przypominają o konieczności włączenia uwierzytelniania dwuskładnikowego, najlepiej z użyciem aplikacji uwierzytelniającej lub klucza sprzętowego. Warto też sprawdzić adres e-mail i numer telefonu przypisany do konta, aktywne sesje logowania oraz ostatnie wiadomości od Instagrama dotyczące zmian bezpieczeństwa.

Instagram ma również informować część użytkowników, których konta mogły być celem ataku. Osoby, które zauważą nieznane logowania, zmianę danych kontaktowych albo utratę dostępu do profilu, powinny natychmiast skorzystać z oficjalnej procedury odzyskiwania konta.