A Meta tájékoztatása szerint mintegy 20 ezer Instagram-fiók eshetett áldozatul egy közelmúltbeli támadásnak, amely során a támadók egy mesterséges intelligenciával ellátott fiók-helyreállítási eszközt használtak ki. A támadók a Meta chatbotját vették rá arra, hogy a saját e-mail-címüket kapcsolja össze a célzott fiókokkal. Ez lehetővé tette számukra a jelszó-visszaállítást, majd a fiókok teljes átvételét. A jelentések szerint több kiemelt jelentőségű fiók is kompromittálódott, amelyeket később a dark weben értékesítettek.

A Meta tájékoztatta a hatóságokat az incidens hatásairól. A vállalat a Maine állam főügyészének hivatalát arról értesítette, hogy az eset potenciálisan 20 225 felhasználót érinthetett. Amber Hannah, a Meta incidenskezelési ügyekért felelős helyettes jogtanácsosa ugyanakkor jelezte, hogy a ténylegesen érintett felhasználók száma ennél valószínűleg alacsonyabb. A vállalat a becslés során minden olyan felhasználót figyelembe vett, akinek a jelszavát a támogatási eszköz segítségével állították vissza, nem rendelkezett kétfaktoros hitelesítéssel (2FA), és akinek a fiókjához feltételezhetően illetéktelenek fértek hozzá. Ugyanakkor egyes esetekben elképzelhető, hogy a fiókokba nem a támadók, hanem a jogos tulajdonosok léptek be.

A Maine-i főügyészségnek küldött bejelentésből kiderül, hogy a Meta High Touch Support (HTS) nevű támogatási rendszerének visszaélésszerű használatát május 31-én észlelték.

A HTS-rendszeren keresztül a felhasználók támogatási kérelmeket nyújthatnak be, amelyek részeként kérhetik, hogy a rendszer jelszó-visszaállítási hivatkozást küldjön az e-mail-címükre. Maga az eszköz a tervezett módon működött, azonban egy különálló kódrészletben található hiba miatt a rendszer nem ellenőrizte megfelelően, hogy a jelszó-visszaállítást kezdeményező személy által megadott e-mail-cím megegyezik-e az adott Instagram-fiókhoz tartozó e-mail-címmel.

Ennek következtében, ha valaki olyan e-mail-címet adott meg, amely korábban nem volt társítva az adott fiókhoz, a rendszer tévesen erre a címre küldte ki a jelszó-visszaállító linket ahelyett, hogy elutasította volna a kérelmet. Ez lehetővé tette, hogy illetéktelen személyek olyan fiókokhoz kapjanak jelszó-visszaállítási hozzáférést, amelyek nem álltak a tulajdonukban. A jelszó módosítását követően pedig be tudtak jelentkezni a fiókba, amennyiben annak tulajdonosa nem aktiválta a kétfaktoros hitelesítést.

A Meta szerint egyelőre nem tisztázott, hogy a kompromittált fiókokban tárolt személyes adatokhoz ténylegesen is hozzáfértek-e a támadók. Ugyanakkor fennáll a lehetősége annak, hogy profiladatokat, e-mail-címeket, telefonszámokat, születési dátumokat, privát üzeneteket, közösségimédia-bejegyzéseket, valamint a fiókok aktivitására és interakciós előzményeire vonatkozó információkat is megszerezhettek.

A közösségimédia-vállalat az érintett támogatási eszközt letiltotta, és csak azt követően helyezi ismét üzembe, hogy meggyőződött a sérülékenység teljes körű javításáról. A sérülékenység kihasználásával generált jelszó-visszaállító hivatkozásokat érvénytelenítették. Emellett az érintett fiókok esetében kötelező biztonsági ellenőrzési folyamatot vezettek be, valamint új jelszavakat állítottak be.