Мошенники использовали AI-бота службы поддержки Meta* для захвата популярных аккаунтов в Instagram*. Схема оказалась на удивление простой: атакующие обращались в автоматизированную поддержку и добивались привязки к целевому аккаунту нового адреса электронной почты. После этого они запускали восстановление доступа и получали контроль над страницей.
Кейс описало издание 404 Media. Уязвимость затронула AI support assistant — помощника Meta для решения проблем с аккаунтами Facebook* и Instagram*. Компания продвигала его как более быстрый способ восстановить доступ, сменить пароль, сообщить о проблеме или получить помощь без классического общения с человеком из поддержки.
Проблема возникла в самой логике доверия. Бот принимал запросы на изменение данных восстановления и мог отправить код доступа на новый адрес, который указывал не владелец страницы, а атакующий. Для успешного захвата мошенникам не требовалась сложная техническая эксплуатация: ключевую роль играла слабая проверка права на аккаунт.
Среди целей назывались аккаунт косметического бренда Sephora и архивная страница Белого дома в Instagram, связанная с периодом президентства Барака Обамы. Также в сообщениях упоминались другие заметные профили. Часть похищенных аккаунтов, как утверждают журналисты, позже выставляли на продажу. Для рынка редких и узнаваемых Instagram-страниц такие профили имеют отдельную ценность: их покупают ради аудитории, имени, статуса, перепродажи или дальнейшего мошенничества.
Meta* признала проблему и заявила, что устранила уязвимость. Компания не раскрыла, сколько аккаунтов успели захватить через AI-поддержку. Также нет публичной полной технической хронологии: когда именно появился сбой в логике восстановления, сколько времени он был доступен и какие внутренние проверки сработали после первых жалоб.
Отдельно неприятно, что инцидент произошёл вокруг функции, которая должна помогать пользователям возвращать доступ к аккаунтам. Восстановление доступа всегда было слабым местом крупных платформ: если процедура слишком строгая, реальные владельцы неделями не могут вернуть страницу. Если она слишком мягкая, мошенники начинают использовать поддержку как обход двухфакторной защиты и обычных механизмов безопасности.
В этом случае риск усилила автоматизация. AI-поддержка может быстро обрабатывать типовые запросы, но любая ошибка в правах и проверках масштабируется сразу на большое число пользователей. Человек-оператор тоже может ошибиться, но автоматизированный помощник работает быстрее, круглосуточно и в больших объемах. Поэтому у таких систем должны быть жесткие ограничения на действия, которые меняют контроль над аккаунтом.
Для владельцев крупных страниц угон Instagram* — это не только потеря публикаций. Через захваченный аккаунт можно размещать мошеннические объявления, рассылать сообщения подписчикам, менять контакты, требовать выкуп, продавать доступ или использовать страницу для репутационной атаки. Чем известнее бренд или публичная персона, тем выше эффект даже от короткого захвата.
* Meta и Instagram принадлежат компании Meta Platforms Inc., деятельность которой признана экстремистской и запрещена в РФ.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
