Користувачі Instagram повідомляють про серію захоплень акаунтів, під час яких зловмисники нібито змогли обійти захисні механізми Meta за допомогою власних інструментів штучного інтелекту компанії.
За словами постраждалих, атака дозволяла отримати контроль над профілем навіть у випадках, коли власник пройшов перевірку особи через сканування обличчя та використовував двофакторну автентифікацію.
Особливе обурення викликала система відновлення доступу. Багато користувачів скаржаться, що після втрати акаунта потрапляють у замкнене коло автоматизованої підтримки, де всі звернення обробляються чат-ботами та ШІ-асистентами без можливості зв’язатися з живим співробітником.
Серед профілів, які, за повідомленнями користувачів, постраждали від атак, опинилися акаунт, що раніше використовувався командою Білого дому часів Барака Обами, сторінка дослідниці додатків Джейн Манчун Вонг, а також відомі акаунти @hey і @korn.
Власник акаунта @korn розповів, що витратив близько шести годин на спроби отримати допомогу від Meta, але натомість отримав лише кілька непрацюючих посилань від системи підтримки на базі штучного інтелекту.
За його словами, ситуація виглядає абсурдною: один ШІ допоміг викрасти акаунт, а інший не здатен повернути доступ законному власнику.
Журналісти та користувачі, які досліджували інцидент, стверджують, що сама схема була досить простою. Зловмисник запускав процедуру відновлення доступу через функцію «Забули пароль», після чого починав взаємодію з AI-помічником Meta, переконуючи його, що є справжнім власником профілю.
Коли система вимагала підтвердити особу за допомогою селфі, атакувальники брали фотографію жертви безпосередньо з її Instagram-акаунта та пропускали її через генератор відео на основі штучного інтелекту. Отриману анімовану версію обличчя завантажували до системи перевірки.
За словами користувача на ім’я Андре, алгоритми Meta не могли надійно відрізнити справжнє селфі від згенерованого відео. Саме це дозволяло пройти перевірку особи та фактично обійти захист 2FA.
Додатково повідомляється, що деякі зловмисники використовували VPN-сервіси, щоб імітувати підключення з регіону проживання жертви. Це допомагало уникати додаткових перевірок безпеки, які могли спрацьовувати під час входу з незвичних локацій.
Після успішної зміни прив’язаної електронної адреси атакувальник отримував можливість скинути пароль та завершити захоплення акаунта.
Окремі повідомлення в мережі також стверджували, що таким способом могли бути захоплені надзвичайно рідкісні односимвольні акаунти Instagram, зокрема @e та @f. Водночас інші джерела заперечують цю версію та припускають, що подібні імена користувачів могли бути передані особою з внутрішнім доступом до систем Meta. Незалежно підтвердити будь-який із цих сценаріїв наразі не вдалося.
Однолітерні акаунти вважаються одними з найцінніших активів у соцмережах і можуть коштувати на чорному ринку десятки тисяч доларів.
Офіційної заяви Meta щодо інциденту поки що немає. Водночас віцепрезидент компанії з комунікацій Енді Стоун відповів одному з постраждалих користувачів у соцмережах, повідомивши, що проблему вже усунуто, а безпеку скомпрометованих акаунтів відновлено.
