Instagram ліквідував вразливість через ШІ-підтримку

Instagram усунув вразливість, що дозволяла хакерам захоплювати акаунти через ШІ-підтримку

Компанія Meta заявила про усунення критичної проблеми в Instagram, через яку зловмисники могли отримувати доступ до чужих акаунтів за допомогою ШІ-чату підтримки. Інцидент підтверджується скриншотами та відео, опублікованими в соціальних мережах.

Як працювала атака

За даними дослідників, хакери використовували наступний алгоритм:

• Підміна місцезнаходження за допомогою VPN, щоб імітувати розташування власника акаунта;
• Пошук потрібного облікового запису через функцію відновлення доступу;
• Звернення до ШІ-бота Instagram з проханням змінити прив'язану електронну адресу;
• Отримання коду підтвердження на нову пошту та зміна пароля.

Відео, поширені в мережі, демонстрували цей процес. Зокрема, дослідник кібербезпеки Dark Web Informer опублікував ролик у X (Twitter), де показано, як зловмисник обирає цільовий акаунт і змінює його дані через ШІ-підтримку.

Реакція користувачів та Meta

Деякі постраждалі скаржилися на відсутність живої підтримки. Один із користувачів X зазначив:

"Ми дійшли до точки, де один ШІ вкрав акаунт, а інший не може його виправити — жодної участі людей ніде".

Представник Meta Енді Стоун підтвердив усунення проблеми та заявив:

"Цю проблему вже вирішено, і ми забезпечуємо захист постраждалих акаунтів".

Водночас компанія спростувала твердження про злам акаунтів світових лідерів, назвавши їх "абсолютно неправдивими".

Високопрофільні випадки

За даними видання 404media, вразливість збіглася з хвилею захоплень акаунтів відомих особистостей. Серед постраждалих:

• Перевірений акаунт Барака Обами, який використовувався під час його президентства;
• Дослідниця безпеки та колишня співробітниця Meta Джейн Манчун Вонг.

Акаунт Обами тимчасово публікував проіранський контент, а Вонг повідомила, що її пароль було змінено без її відома.

Масштаби та причини проблеми

Точна кількість постраждалих акаунтів невідома. Експерти припускають, що вразливість могла існувати з кінця березня 2026 року — з моменту активнішого впровадження ШІ-підтримки в Instagram.

Головною причиною атаки стала відсутність належних обмежень ("guardrails") у роботі ШІ-інструменту. Зокрема:

• Бот змінював електронну адресу та ініціював скидання пароля без додаткової перевірки власника;
• Для атаки достатньо було знати лише ім'я користувача (username), без доступу до оригінальної пошти чи телефону жертви;
• Відсутність живої підтримки ускладнювала швидке відновлення акаунтів.

Як зазначає Digital Trends, така атака обходила стандартні механізми відновлення доступу, роблячи її особливо небезпечною.

Контекст та наслідки

Цей інцидент стався на тлі зростаючої критики щодо автоматизації підтримки користувачів у Meta. Раніше компанія вже стикалася з звинуваченнями у недостатній допомозі користувачам, чиї акаунти були зламані або заблоковані.

Незалежний орган ЄС, що розглядає спори користувачів соцмереж, минулого тижня заявив, що Meta майже не реагує на повідомлення про неправомірні блокування.

Запуск ШІ-підтримки як частини стратегії автоматизації обслуговування користувачів створив нові ризики. Зокрема, інтеграція функцій скидання пароля та обробки запитів про злам у ШІ-систему стала критичною точкою вразливості.