Méta, Sécurité du compte Instagram a partagé les données les plus marquantes de ces derniers jours sur le sujet et a expliqué l'erreur dans l'outil d'assistance soutenu par l'intelligence artificielle. 20 225 comptes Il a expliqué que cela l'avait affecté. Les attaquants ont modifié le mot de passe des comptes en exploitant le manque de vérification des e-mails dans le flux de récupération de compte exécuté via Meta AI. Cet incident a spécifiquement touché des noms d’utilisateur précieux, des comptes prestigieux et des personnes qui investissent dans leur compte depuis longtemps.
Selon la notification officielle rapportée par Bleeping Computer, Meta est le numéro net de l'incident de rachat de compte. 20 225 comptes Instagram commun. Dans sa notification au bureau du procureur général du Maine, la société a déclaré que les attaquants avaient pris le contrôle des liens de réinitialisation de mot de passe via le système d'assistance. De plus, Meta a annoncé avoir invalidé les liens défectueux après l'incident et lancé des mesures de sécurité pour les comptes concernés.
Au centre de l'attaque se trouvait l'outil « High Touch Support », basé sur l'intelligence artificielle, qui gère le processus d'assistance et de réinitialisation du mot de passe du compte Instagram. Le système utilise l'adresse e-mail correspondante fournie par l'utilisateur. à votre compte Instagram Je n'ai pas suffisamment vérifié s'il était réellement connecté. Ainsi, les attaquants ont associé les informations de messagerie du compte cible à leur propre adresse, puis se sont connectés au compte via le lien de réinitialisation du mot de passe.
Dans les premières nouvelles, il a été rapporté que les attaquants avaient tenté d'apparaître à proximité de l'emplacement de la personne cible en utilisant un VPN. Le système, lancé en décembre, n'a pas mis en œuvre de contrôle rigoureux pour prouver la propriété du compte autre que cette vérification de localisation. D'un autre côté, 404 Media a écrit que les pirates ciblaient particulièrement les comptes avec des noms d'utilisateur courts et précieux, et que certains attaquants gagnaient beaucoup d'argent grâce au robot Meta AI.
Meta dit avoir résolu le bug et sécurisé les comptes
L'ancienne ingénieure Meta Jane Manchun Wong figurait également parmi les cibles de l'attaque. Wong a déclaré que son compte Instagram avait été piraté, que son mot de passe avait été modifié à son insu et qu'il avait reçu différentes tentatives de réinitialisation de mot de passe tout au long de la journée. Il a également déclaré avoir été supprimé de l'application Instagram iOS à plusieurs reprises et a décrit le processus qu'il a suivi comme « assez inquiétant ».
Le porte-parole de Meta, Andy Stone, a déclaré dans sa déclaration à ce sujet : « Ce problème a été résolu. Nous sécurisons actuellement les comptes concernés. » dit-il. Dans la notification de l'entreprise, la vulnérabilité Le 31 mai 2026 Il a été déclaré que cela avait été remarqué et que les liens de réinitialisation de mot de passe incorrects avaient été rendus invalides. Cependant, Meta a reconnu que les attaquants pouvaient avoir accédé à des données telles que des e-mails, des numéros de téléphone, des messages directs et des informations de profil sur certains comptes.
The Verge a répertorié le compte de la Maison Blanche de l'ère Barack Obama, Sephora et Jane Manchun Wong parmi les exemples très médiatisés liés à l'incident. TechCrunch a déclaré que les attaquants ont eu accès aux comptes en convaincant le robot de support et que l'incident ne pouvait pas s'expliquer uniquement par un vol de mot de passe classique. S'adressant à Reuters, les experts en sécurité ont souligné que l'automatisation devrait fonctionner avec des contrôles stricts dans les processus sensibles tels que la récupération de compte.
Il existe quelques différences dans la chronologie entre les sources. Alors que certains rapports indiquaient que l'outil avait été publié en décembre, Business Insider et Inc ont écrit que Meta avait rendu cet outil d'assistance plus largement disponible en mars pour résoudre les problèmes de compte. Malgré cela, l'axe principal de l'événement ne change pas, Outil de support Meta AI n'a pas vérifié correctement la correspondance de l'e-mail et les attaquants ont exploité ce bug a repris les comptes Instagram.
Ces opportunités pourraient vous intéresser
Teknoblog a des partenariats d'affiliation. Ceux-ci n'influencent pas le contenu éditorial, mais Teknoblog peut percevoir une commission sur les produits achetés via des liens d'affiliation.
