Meta AI помогла хакерам угнать больше 20 000 аккаунтов Instagram* через сброс паролей

Более 20 000 профилей Instagram могли быть скомпрометированы после того, как злоумышленники нашли слабое место в инструменте High Touch Support на базе искусственного интеллекта. Система предназначалась для восстановления доступа к заблокированным учётным записям, но позволила сбрасывать пароли без нормальной проверки связи адреса электронной почты с конкретным аккаунтом. Meta* уже отключила сервис и занимается защитой пострадавших профилей.

Инструмент High Touch Support, или HTS, должен был помогать пользователям Instagram возвращать доступ к аккаунтам после блокировки. По данным BleepingComputer, в этой системе обнаружилась уязвимость, позволявшая инициировать сброс пароля без корректной верификации почты. Добрый ИИ-помощник свернул не туда на развилке безопасности и превратился в удобную дверцу для захвата чужих профилей.

Механика атаки оказалась пугающе простой и опиралась на несколько слабых звеньев:

• HTS не сверял указанный адрес электронной почты с реальными данными аккаунта;
• злоумышленник получал ссылку для сброса пароля по чужой учётной записи;
• после смены пароля нарушитель заходил в профиль и забирал контроль;
• аккаунты без двухфакторной аутентификации захватывались за минимальное число шагов.

Первые тревожные сигналы появились в соцсетях, где пользователи массово жаловались на атаки и потерю доступа к своим страницам. Энди Стоун, вице-президент Meta по коммуникациям, отреагировал на обращение одного из пострадавших и сообщил, что проблема устранена, а компания занимается защитой затронутых аккаунтов. BleepingComputer также направил запрос Meta, но к моменту публикации ответа от компании не получил.

Стоит обратить внимание на то, что подробности инцидента всплыли не в публичном пресс-релизе, а в уведомлении Meta в офис генерального прокурора штата Мэн.

В документе компания сообщила, что уязвимость в инструменте поддержки восстановления аккаунтов Instagram могла привести к потенциальной компрометации 30 пользователей в юрисдикции штата. Все эти учётные записи защитили, чтобы остановить дальнейший несанкционированный доступ. По объяснению Meta, 31 мая 2026 года компания обнаружила брешь в системе восстановления учётных записей Instagram на базе ИИ. Слабое место использовали неавторизованные третьи лица для сброса паролей. В письме не указано, когда именно начались атаки, но документы на сайте Генеральной прокуратуры штата Мэн называют дату 17 апреля. Вероятно, тогда злоумышленники впервые применили уязвимость HTS.

Самое неприятное здесь даже не число пострадавших, а список данных, к которым могли получить доступ нарушители. Meta не располагает точными сведениями о том, что именно похитили из взломанных профилей, но допускает доступ к широкому набору информации:

• контактная информация пользователей и адреса электронной почты;
• номера телефонов и даты рождения;
• публикации, фотографии, видео и истории;
• личные сообщения, переписка и история активности аккаунта;
• биография, аватар профиля, сведения о связанных аккаунтах и сервисах.

После обнаружения инцидента Meta отключила High Touch Support и аннулировала все ссылки для сброса паролей, созданные системой. Этот шаг должен был закрыть возможность для дальнейших атак через тот же механизм. Компания временно выдернула проблемный инструмент из розетки, чтобы злоумышленники больше не могли использовать сгенерированные ссылки или запускать новые попытки захвата через тот же канал.

Все потенциально украденные аккаунты перевели на обязательную проверку безопасности. Пострадавшим пользователям предложили заново сбросить пароли и пройти повторную аутентификацию, чтобы восстановить контроль над профилями и снизить риск повторного доступа со стороны нарушителей. Для владельцев это означает ещё один неприятный круг восстановления, но после такой дыры без повторной проверки обойтись было бы рискованно.

Перед повторным запуском HTS Meta намерена исправить проверку аутентификации в точке входа для восстановления аккаунта Instagram. Система должна будет корректно сверять адрес электронной почты с уже существующими данными учётной записи до начала процедуры сброса пароля. Компания также проводит широкий анализ похожих процессов восстановления аккаунтов на своих платформах, чтобы найти и закрыть возможные слабые места до того, как ими воспользуются новые охотники за чужими профилями.

Интересно, что инцидент связан не с забытым сервером на чердаке корпоративной инфраструктуры, а с современным ИИ-инструментом поддержки пользователей.

Технология, которая должна была ускорять помощь и убирать лишнюю бюрократию из процесса восстановления доступа, сама стала частью проблемы. Здесь снова всплывает старая боль больших платформ. Чем умнее и автоматизированнее становится поддержка, тем выше цена логике проверки. Алгоритм, неверно сверяющий два поля при запросе, способен открыть массовый канал для угона чужих аккаунтов быстрее, чем любая фишинговая кампания.

Для пользователей Instagram этот случай стал напоминанием о том, что двухфакторная аутентификация давно перестала быть опцией для параноиков. Профили без второго барьера в этой атаке оказались под самым сильным ударом. Если аккаунт привязан к бизнесу, публичной странице, личному архиву фото или переписке, отсутствие 2FA превращает его в гораздо более лёгкую цель.

Для Meta это уже не первый крупный эпизод с персональными данными и безопасностью аккаунтов. До инцидента с HTS Ирландия оштрафовала компанию на 264 млн долларов за утечку данных 2018 года, при которой были раскрыты имена, адреса электронной почты, номера телефонов и физическое местоположение более 29 млн учётных записей Facebook. Масштаб нынешнего случая другой, но удар приходится по одному и тому же месту. У платформы с миллиардами пользователей даже маленькая ошибка в системе восстановления доступа очень быстро превращается в большую проблему.

Ранее сообщалось, что Meta*, Starlink, Microsoft, Coinbase и правоохранительные органы шести стран провели масштабную операцию против международных сетей интернет-мошенников. В результате были заблокированы более 1,4 млн аккаунтов, страниц и сообществ, задержаны 63 подозреваемых, заморожены криптовалютные активы на сумму свыше 3 млн долларов, а также отключены тысячи терминалов Starlink, которые, по данным следствия, использовались преступниками.

Также мы писали о том, что злоумышленники смогли получить доступ к ряду популярных аккаунтов Instagram, воспользовавшись ИИ-помощником Meta. Среди затронутых профилей оказались страница Белого дома времён администрации Барака Обамы, корпоративный аккаунт Sephora и страница главного старшего сержанта Космических сил США. По имеющейся информации, атака не потребовала взлома серверов или поиска технических уязвимостей — хакеры добились нужного результата с помощью манипуляций при взаимодействии с системой искусственного интеллекта.

Эксперты редакции CISOCLUB заявляют, что случай с HTS отражает риски, которые приходят вместе с массовым внедрением ИИ-инструментов в клиентскую поддержку крупных платформ. Алгоритм без жёсткой логики верификации становится более опасным каналом захвата аккаунтов, чем классические фишинговые приёмы, поскольку работает с легитимными механизмами восстановления.

Платформам стоит проводить независимый аудит ИИ-помощников до запуска в продакшен, а не после первых жалоб пользователей. Двухфакторная аутентификация остаётся базовым барьером, который существенно снижает шансы на быстрый угон профиля. Регуляторы, судя по практике штата Мэн, будут всё чаще требовать от компаний публичной отчётности по подобным инцидентам. Пользователям имеет смысл регулярно проверять активные сессии, привязанные адреса и список устройств, имеющих доступ к аккаунту.

* Корпорация Meta, владеющая Facebook и Instagram, признана экстремистской организацией и запрещена на территории Российской Федерации.