Meta* (запрещена в РФ) раскрыла подробности инцидента, из-за которого злоумышленники могли получить доступ к 20 225 аккаунтам Instagram через инструмент восстановления доступа High Touch Support. Это внутренняя система поддержки, которая помогает пользователям вернуть доступ к профилю, если они потеряли пароль или не могут войти в аккаунт.
Проблема оказалась не в утечке базы данных и не во взломе серверов Meta* (запрещена в РФ), а в логике восстановления доступа. Система принимала email, который вводил человек в чате поддержки, и могла отправить на него ссылку для сброса пароля, даже если этот адрес не был привязан к атакуемому аккаунту Instagram.
Дальше атакующий запускал восстановление доступа, обращался к ИИ-помощнику поддержки, просил добавить новый email или отправить ссылку сброса пароля, получал код на свой адрес и менял пароль. Если у владельца аккаунта не была включена двухфакторная аутентификация, злоумышленник мог войти в профиль.
Meta* (запрещена в РФ) обнаружила уязвимость 31 мая 2026 года. В уведомлении для регулятора компания назвала инструмент AI-assisted account recovery system и уточнила, что речь идет о High Touch Support, или HTS. Компания также указала, что часть затронутых аккаунтов могла попасть в статистику по осторожной методике подсчета: учитывались пользователи, у которых сбрасывался пароль через этот инструмент, не была включена двухфакторная защита и был вероятен сторонний доступ.
Инцидент заметили раньше официального раскрытия. В конце мая и начале июня в Telegram, X и на Reddit начали появляться сообщения о перехвате аккаунтов Instagram * (запрещен в РФ). Исследователи и профильные издания описывали демонстрационные видео, где атакующий через VPN выбирал IP-адрес рядом с регионом жертвы, открывал чат с поддержкой Meta* (запрещена в РФ) и просил привязать новый email. VPN в этой схеме нужен был не для взлома, а для обхода поведенческих проверок: запрос выглядел менее подозрительным, если приходил из привычной географии.
В числе заметных целей называли старый аккаунт Белого дома времен администрации Барака Обамы, профиль главного мастер-сержанта Космических сил США Джона Бентивеньи, аккаунт Sephora и страницу исследовательницы безопасности Джейн Манчун Вонг. Часть аккаунтов после захвата использовали для публикации посторонних материалов, часть могла представлять интерес из-за коротких и редких имен пользователя. Такие «OG-аккаунты» давно имеют отдельный серый рынок: короткие никнеймы проще запомнить, их охотно покупают мошенники, спамеры и перекупщики.
Meta* (запрещена в РФ) заявила, что отключила затронутый инструмент, аннулировала созданные через него ссылки сброса пароля и перевела потенциально затронутые аккаунты в обязательную проверку безопасности. Владельцам таких профилей нужно заново подтвердить доступ, сменить пароль и пройти повторную авторизацию через проверенные каналы.
Отдельно компания пообещала исправить проверку email в точке входа восстановления Instagram * (запрещен в РФ) . Система должна сверять адрес, на который отправляется ссылка сброса, с email, уже связанным с аккаунтом. Meta также проводит ревизию похожих сценариев восстановления доступа на своих платформах.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
