Jei pastarąsias kelias savaites pastebėjote, kad iš jūsų „Instagram" paskyros kažkas siunčia keistas žinutes arba apskritai negalite prisijungti — galbūt jūsų paskyra buvo tarp tų, kurias įsilaužėliai pavogė pasinaudodami pačios „Meta" dirbtinio intelekto sistema.

Gegužės 31 dieną „Meta" aptiko, kad jos DI valdomas pagalbos įrankis „High Touch Support" (HTS), sukurtas padėti vartotojams atgauti užblokuotas paskyras, buvo išnaudotas užpuolikų. Sistema, kuri turėjo apsaugoti, tapo pagrindiniu įsilaužimo įrankiu. Iš viso nukentėjo 20 225 „Instagram" vartotojai.

Kaip veikė ataka

HTS veikimo principas buvo paprastas: vartotojas, negalintis prisijungti prie paskyros, galėjo paprašyti, kad sistema atsiųstų slaptažodžio atkūrimo nuorodą į jo el. paštą. Tačiau sistemoje buvo kritinė spraga — ji netikrino, ar nurodytas el. paštas iš tikrųjų priklauso tai „Instagram" paskyrai, kurią bandoma atgauti.

// reklamaČia gali būti jūsų reklamaSusisiekite →

„Pats įrankis veikė teisingai ir taip, kaip suprojektuotas, tačiau dėl klaidos atskirame kodo kelyje sistema tinkamai nepatikrino, ar slaptažodžio atkūrimo prašančio asmens el. paštas sutampa su tuo, kuris susietas su vartotojo „Instagram" paskyra", — 2026 metų birželį Meino valstijos generaliniam prokurorui pateiktame pranešime rašė Amber Hannah, „Meta" incidentų atsakymo teisės padalinio asocijuota generalinė advokatė.

Vos tik įsilaužėlis gaudavo slaptažodžio atkūrimo nuorodą, jis galėjo pakeisti slaptažodį ir prisijungti prie paskyros — su sąlyga, kad tikrasis savininkas nebuvo įsijungęs dviejų veiksnių autentifikavimo. Pasak „Meta", atakos prasidėjo dar balandžio 17 dieną.

Ką užpuolikai galėjo pasiekti

Patekę į paskyras, įsilaužėliai galėjo matyti vartotojų kontaktinę informaciją — el. paštą ir telefono numerį, gimimo datas, nuotraukas, vaizdo įrašus, „Stories" įrašus, tiesiogines žinutes, profilio informaciją ir net prie paskyros prijungtas kitas paslaugas. „Meta" pripažino, kad kol kas neturi tikslios informacijos, kas konkrečiai buvo pasiekta ar nukopijuota iš pavogtų paskyrų.

Po incidento bendrovė nedelsdama išjungė HTS sistemą, anuliavo visus per ją sugeneruotus slaptažodžio atkūrimo puslapius ir įtraukė visas potencialiai paveiktas paskyras į privalomą saugumo patikrą. Prieš vėl paleidžiant įrankį, „Meta" pažadėjo sutvarkyti autentifikavimo patikrą ir atlikti išsamią panašių paskyrų atkūrimo procesų peržiūrą visose savo platformose.

Ne pirmas kartas

Tai toli gražu ne pirmas „Meta" susidūrimas su duomenų saugumo problemomis. Airija jau skyrė bendrovei 264 milijonų JAV dolerių baudą už 2018 metų duomenų nutekėjimą, kai buvo atskleisti daugiau nei 29 milijonų „Facebook" vartotojų vardai, el. pašto adresai ir buvimo vietos. 2022 metų lapkritį „Meta" taip pat buvo nubausta 265 milijonų eurų bauda už nesugebėjimą apsaugoti vartotojų duomenų nuo jų rinkimo automatizuotomis priemonėmis, o dar 91 milijono eurų bauda skirta už šimtų milijonų vartotojų slaptažodžių saugojimą atviru tekstu.

Dažnai užduodami klausimai

Kaip sužinoti, ar mano „Instagram" paskyra buvo tarp pavogtų?
„Meta" turėjo susisiekti su paveiktais vartotojais. Jei negavote pranešimo, tačiau pastebėjote įtartiną veiklą — nedelsdami pakeiskite slaptažodį.
Ar dviejų veiksnių autentifikavimas apsaugojo nuo šios atakos?
Taip. Pasak „Meta", įsilaužėliai galėjo perimti tik tas paskyras, kuriose nebuvo įjungtas dviejų veiksnių autentifikavimas.
Ar HTS sistema vėl veikia?
Kol kas ne. „Meta" pažadėjo ją grąžinti tik sutvarkius autentifikavimo patikrą ir atlikus visų panašių procesų peržiūrą.

Šaltiniai

  1. BleepingComputer — „Meta AI support data breach affects 20,000 Instagram accounts"Bleepingcomputer · 2026
  2. Maine Attorney General Data Breach Notification (via Meta)Maine · 2026
  3. The Verge — „Meta fined $275.5 million for Facebook data scraping"Theverge · 2026