Шановні читачі, сьогодні ми зануримося в тривожний інцидент, що стався з користувачами Instagram, де понад 20 000 акаунтів опинилися під загрозою через серйозну вразливість у системі безпеки Meta. Ця проблема, що виникла в інструменті підтримки High Touch Support (HTS), який базується на штучному інтелекті, дозволила зловмисникам безперешкодно отримувати контроль над сторінками, використовуючи слабкість у перевірці пов’язаних електронних адрес для скидання паролів.
Ситуація набула розголосу після численних скарг у соціальних мережах, на що віцепрезидент Meta з комунікацій Енді Стоун відреагував, запевнивши, що проблема вже вирішена, а постраждалі акаунти відновлюються. Однак, компанія не надала оперативних коментарів на запит видання Bleeping Computer, і деталі атаки стали відомі завдяки листу, надісланому до офісу генерального прокурора штату Мен. В цьому листі зазначалося, що вразливість могла призвести до компрометації акаунтів 30 користувачів у юрисдикції штату, хоча загальна кількість постраждалих сягає понад 20 000, а сама вразливість була виявлена 31 травня 2026 року.
Детальний аналіз проблеми
Використання ШІ-інструменту для компрометації
- Вразливість полягала в інструменті підтримки High Touch Support (HTS), який використовує штучний інтелект для відновлення доступу до заблокованих акаунтів.
- Зловмисники скористалися тим, що система HTS не перевіряла належним чином, чи пов’язані електронні адреси з цільовими акаунтами.
- Це дозволило їм отримувати посилання для скидання паролів і легко захоплювати сторінки користувачів.
Наслідки для користувачів
Наразі невідомо, який обсяг особистої інформації могли отримати зловмисники, проте експерти припускають, що це можуть бути контактні дані, дати народження, приватні повідомлення, історія активності, а також дані інших прив’язаних акаунтів та сервісів.
Заходи, вжиті Meta
Після виявлення вразливості Meta негайно вимкнула HTS та деактивувала всі створені системою посилання для скидання паролів, щоб запобігти подальшим спробам захоплення акаунтів. Постраждалі сторінки були переведені в режим обов’язкової перевірки безпеки, а власників попросили оновити паролі та пройти повторну автентифікацію для відновлення доступу та захисту своїх облікових записів.
Компанія також заявила про проведення комплексного аудиту подібних процесів відновлення доступу на всіх своїх платформах для виявлення та усунення потенційних проблем.
Історія штрафів Meta за витоки даних
Регулярні порушення безпеки
Meta неодноразово стикалася зі значними штрафами через витоки даних з її платформ. Так, Ірландія наклала на компанію штраф у розмірі 264 мільйонів доларів через проблему 2018 року, яка призвела до розкриття особистих даних понад 29 мільйонів акаунтів Facebook. У листопаді 2022 року Meta також була оштрафована на 275,5 мільйонів доларів за неналежний захист даних користувачів Facebook від скрапінгу, а також на додаткові 100 мільйонів доларів за зберігання паролів сотень мільйонів користувачів у відкритому вигляді.
Ці інциденти підкреслюють необхідність постійного вдосконалення систем безпеки та захисту даних користувачів, особливо в умовах стрімкого розвитку технологій штучного інтелекту.
