Foto: BleepingComputer
Meta je objavila da je u nedavnom incidentu više od 20.000 korisnika Instagrama ostalo bez kontrole nad računima nakon što su napadači iskoristili AI-podržani sustav za podršku kako bi poništili lozinke. Riječ je o alatu High Touch Support (HTS), koji korisnicima pomaže vratiti pristup računu nakon zaključavanja, a Meta navodi da je ranjivost bila u tom postupku oporavka računa.
Prema navodima iz prijave podnesene uredu glavnog državnog odvjetnika američke savezne države Maine, Meta je 31. svibnja 2026. otkrila ranjivost u AI-podržanom sustavu za oporavak računa na Instagramu, a neovlaštene treće strane iskoristile su je za resetiranje lozinki korisnika. U istoj prijavi stoji da je tvrtka obavijestila pogođene korisnike kako je ranjivost mogla dovesti do kompromitacije 30 računa u njihovoj nadležnosti te da su svi ti računi osigurani kako bi se spriječio daljnji neovlašteni pristup.
Meta je, kako je ranije naveo Andy Stone, potpredsjednik komunikacija u tvrtki, nakon prijava korisnika na društvenim mrežama zaključila da je problem riješen i da se rade dodatne mjere zaštite pogođenih računa. BleepingComputer je također kontaktirao Metu za komentar prošlog tjedna, ali odgovor nije dobio. U međuvremenu je tvrtka onemogućila HTS i sve poveznice za resetiranje lozinki koje je alat generirao, kako bi blokirala daljnje pokušaje preuzimanja računa u okviru iste kampanje.
Meta navodi i da nema informacije o tome jesu li iz kompromitiranih računa doista pristupili osobnim podacima, no u obavijesti pogođenima navodi da su potencijalno mogli biti izloženi kontaktni podaci, poput e-adrese i/ili broja telefona, datumi rođenja, objave i sadržaj na društvenoj mreži, izravne poruke i komunikacija, podaci o aktivnostima i interakcijama, profilne informacije te drugi povezani računi i usluge. Tvrtka je zato sve račune za koje smatra da su mogli biti kompromitirani uključila u obveznu sigurnosnu provjeru i zatražila od korisnika da ponovno promijene lozinke i potvrde identitet kako bi vratili kontrolu nad računima.
Meta je također priopćila da će prije ponovnog pokretanja alata ispraviti provjeru autentičnosti na ulaznoj točki za oporavak Instagrama kako bi se prije resetiranja lozinke provjerila povezanost e-adrese s postojećim podacima računa. Uz to, tvrtka provodi sveobuhvatan pregled sličnih tijekova za oporavak računa na svojim platformama kako bi identificirala i otklonila moguće probleme. U istoj prijavi Meta navodi i ranije kazne u Irskoj te druge postupke povezane sa zaštitom podataka, uključujući kaznu od 264 milijuna dolara za incident iz 2018., kaznu od 265 milijuna eura u studenom 2022. zbog neadekvatne zaštite podataka Facebookovih korisnika od scraper-a te kaznu od 91 milijun eura zbog pohrane lozinki u čistom tekstu.
Vezane vijesti
