Meta-მ განაცხადა, რომ AI-მხარდაჭერის ხელსაწყოს ხარვეზმა 20 000 Instagram-ანგარიში დაუცველი დატოვა

Meta ↗1.70%-მ გაამხილა, რომ 20 225 Instagram-ანგარიში დაუცველი აღმოჩნდა მას შემდეგ, რაც მისმა ხელოვნურ ინტელექტზე დაფუძნებულმა „High Touch Support“ ხელსაწყომ პაროლის აღდგენისას ელექტრონული ფოსტის მისამართების ვერიფიკაცია ვერ შეძლო.cybernews
უსაფრთხოების დარღვევა 17 აპრილს დაიწყო და 31 მაისს გამოვლინდა; Krebs on Security-ის ცნობით, სამიზნეებს შორის იყო ისეთი ცნობილი „OG“ სახელები, როგორიცაა Obama White House-ის Instagram-ანგარიში.krebsonsecurity
Meta-მ გამორთო აღდგენის ხელსაწყო, გააუქმა ყველა გენერირებული აღდგენის ბმული და აცხადებს, რომ ორფაქტორიანი ავთენტიფიკაციის მქონე ანგარიშები არ დაზარალებულა.bleepingcomputer

Meta-მ გაამხილა Instagram-ის ხარვეზი, რომელმაც 20 000-ზე მეტი ანგარიში ჰაკერებისთვის დაუცველი დატოვა

Meta-მ ოფიციალურად გაამხილა უსაფრთხოების ინციდენტი, რომლის დროსაც Instagram-ის ანგარიშის აღდგენის AI-ხელსაწყოს ხარვეზმა თავდამსხმელებს საშუალება მისცა, გაეტაცებინათ 20 000-ზე მეტი მომხმარებლის ანგარიში, სისტემის მოტყუებით პაროლის აღდგენის ბმულების არაავტორიზებულ ელფოსტებზე გაგზავნით.

როგორ მუშაობდა ექსპლოიტი

მენის გენერალური პროკურორის ოფისში წარდგენილ მონაცემთა დარღვევის შესახებ წერილში, Meta-ს იურიდიული დეპარტამენტის წარმომადგენელმა, ემბერ ჰანამ განმარტა, რომ მოწყვლადობა კომპანიის „High Touch Support“ ხელსაწყოში იყო, რომელიც AI-ზე დაფუძნებული სისტემაა და შექმნილია იმისთვის, რომ დაბლოკილ მომხმარებლებს Instagram-ანგარიშებზე წვდომის აღდგენაში დაეხმაროს.cybernews

ხელსაწყომ ვერ შეძლო იმის შემოწმება, ემთხვეოდა თუ არა პაროლის აღდგენის მოთხოვნისას მითითებული ელფოსტის მისამართი ანგარიშზე დაფიქსირებულს. „როდესაც პირი აწვდიდა ისეთ ელფოსტას, რომელიც მანამდე არ იყო დაკავშირებული ანგარიშთან, სისტემა არასწორად აგზავნიდა პაროლის აღდგენის ბმულს ამ დაუკავშირებელ ელფოსტაზე, ნაცვლად იმისა, რომ უარეყო მოთხოვნა“, – წერს ჰანა. თავდამსხმელებს, რომლებიც მიიღებდნენ აღდგენის ბმულს, შეეძლოთ შესულიყვნენ ნებისმიერ ანგარიშში, რომელსაც არ ჰქონდა ჩართული ორფაქტორიანი ავთენტიფიკაცია.bleepingcomputer

მენის დოკუმენტების თანახმად, დარღვევა დაიწყო 17 აპრილს და გამოვლინდა 2026 წლის 31 მაისს. სულ დაზარალდა 20 225 ანგარიში. BleepingComputer-მა თავდასხმების შესახებ პირველად 1 ივნისს იტყობინა, მას შემდეგ, რაც სოციალურ ქსელებში მომხმარებელთა საჩივრების ტალღა გაჩნდა, ხოლო 404 Media-მ გაავრცელა ინფორმაცია, რომ ჰაკერებმა Telegram-ზე გამოაქვეყნეს ვიდეო, სადაც ნაჩვენები იყო ექსპლოიტის გამოყენება, რაც გულისხმობდა VPN-ის გამოყენებას სამიზნის მდებარეობასთან ახლოს და Meta-ს AI-ჩატბოტისთვის ანგარიშზე ახალი ელფოსტის მიბმის თხოვნას.krebsonsecurity

ცნობილი სამიზნეები

თავდამსხმელები, როგორც ჩანს, ფოკუსირებულნი იყვნენ სასურველ „OG“ სახელებზე — მოკლე ან გამორჩეულ მომხმარებლის სახელებზე. უსაფრთხოების ჟურნალისტმა ბრაიან კრებსმა განაცხადა, რომ გატეხილ ანგარიშებს შორის იყო აშშ-ის კოსმოსური ძალების მთავარი სერჟანტის, ჯონ ფ. ბენტივენიას და ობამას ადმინისტრაციის დროინდელი თეთრი სახლის Instagram-ანგარიში. ირანის მომხრე ჰაკერულმა ჯგუფებმა Telegram-არხებში თავდასხმებზე პასუხისმგებლობა აიღეს.cybernews

Meta-ს პასუხი

Meta-მ გამორთო HTS ხელსაწყო, გააუქმა მის მიერ გენერირებული პაროლის აღდგენის ყველა ბმული და დაზარალებული ანგარიშები ჩართო უსაფრთხოების სავალდებულო შემოწმების პროცესში, რაც მომხმარებლებს ხელახალი ავთენტიფიკაციისკენ მოუწოდებს. კომპანიამ განაცხადა, რომ გეგმავს ელფოსტის ვერიფიკაციის შემოწმების გამოსწორებას ხელსაწყოს ხელახლა გაშვებამდე და ატარებს მსგავსი აღდგენის პროცესების შემოწმებას თავის პლატფორმებზე.bleepingcomputer

Meta-ს კომუნიკაციების ვიცე-პრეზიდენტმა, ენდი სტოუნმა X-ზე განაცხადა, რომ „პრობლემა მოგვარებულია და ჩვენ ვუზრუნველყოფთ დაზარალებული ანგარიშების დაცვას“. ექსპლოიტი არ მუშაობდა იმ ანგარიშებზე, რომლებსაც ჩართული ჰქონდათ მრავალფაქტორიანი ავთენტიფიკაციის ნებისმიერი ფორმა, რაც კიდევ ერთხელ უსვამს ხაზს უსაფრთხოების ექსპერტების დიდი ხნის რეკომენდაციას, რომ მომხმარებლებმა გაააქტიურონ თუნდაც SMS-ზე დაფუძნებული ორფაქტორიანი დაცვა.krebsonsecurity