Хакери превзеха ценни Instagram акаунти

Picture of e-security.bg
e-security.bg
Киберсигурност

Автоматизираната поддръжка се оказа слабо звено в защитата на потребителите

Няколко потребители на Instagram съобщиха, че акаунтите им са били превзети, след като нападатели са успели да заблудят базираните на изкуствен интелект системи за поддръжка на Meta и да се представят за легитимните собственици.

Според засегнатите потребители процесът по възстановяване на достъпа впоследствие се е оказал изключително труден, тъй като платформата разчита основно на автоматизирани чатботове и ИИ инструменти, без лесен достъп до човешки служители по поддръжката.

Сред компрометираните профили са били акаунти с висока стойност и значителна история, включително профил, използван в миналото от екипа на Барак Обама, акаунт на изследователката на приложения Джейн Манчун Уонг, както и популярните профили @hey и @korn.

Как е извършена атаката

По информация на засегнатите лица схемата е използвала слабости в процеса за удостоверяване на самоличността при възстановяване на профил.

Атакуващият първо активира процедурата „Забравена парола“, като заявява, че профилът е бил компрометиран. Когато автоматизираната система на Instagram поиска селфи видео за потвърждение на самоличността, нападателят използва публично достъпна снимка на жертвата от нейния профил.

След това изображението се обработва чрез генератор на ИИ видео, който създава анимирано лице, наподобяващо реално селфи видео. Според публикации на засегнати потребители системата за верификация не е успяла надеждно да различи истински запис от генерирано съдържание.

След успешното преминаване на проверката нападателят променя свързания имейл адрес и получава възможност да инициира смяна на паролата, което му осигурява пълен контрол върху акаунта.

Заобикаляне на двуфакторната автентикация

Особено тревожен аспект на случая е твърдението на засегнатите потребители, че атаката е позволила заобикаляне на активирана двуфакторна автентикация (2FA).

Според някои доклади нападателите са използвали VPN услуги, за да изглежда, че достъпът идва от географски регион, обичайно използван от реалния собственик. Това е могло да намали вероятността да бъдат задействани допълнителни защитни проверки.

Ако тези твърдения бъдат потвърдени, случаят би показал как процесите за възстановяване на акаунти могат да се превърнат в по-слабо защитена алтернатива на стандартния механизъм за вход.

Проблемът с липсата на човешка намеса

Най-сериозните критики са насочени към липсата на ефективен механизъм за ескалация към реален служител.

Собственикът на акаунта @korn описва ситуацията като „цикъл от чатботове“, в който автоматизираната поддръжка многократно предоставяла неработещи връзки и не успявала да реши проблема.

Случаят отново поставя въпроса дали критични процеси, свързани с възстановяване на цифрова идентичност и собственост върху онлайн профили, могат да бъдат оставени изцяло в ръцете на автоматизирани системи.

Пазарът за редки потребителски имена

Допълнителен мотив за подобни атаки е високата стойност на редките потребителски имена в социалните мрежи.

Еднобуквените и кратки профили са изключително ограничен ресурс и често се търгуват нелегално за десетки хиляди долари. Именно затова профили като @e, @f и други кратки потребителски имена представляват привлекателна цел за киберпрестъпници.

Част от публикациите в интернет твърдят, че определени еднобуквени акаунти са били придобити чрез активна експлоатация на уязвимост. Други източници оспорват тези твърдения и предполагат вътрешна намеса. Към момента няма независимо потвърждение на нито една от версиите.

Meta: проблемът е отстранен

До момента Meta не е публикувала официално подробно становище по случая. Вицепрезидентът по комуникациите на компанията Анди Стоун обаче е заявил в социалните мрежи, че проблемът е бил разрешен и че засегнатите акаунти се обезопасяват.

Инцидентът показва колко бързо развитието на генеративния ИИ променя ландшафта на цифровата сигурност. Технологии, създадени за автоматизация и удобство, могат да бъдат използвани и за заобикаляне на механизми за удостоверяване на самоличност, което поставя нови предизвикателства пред платформите и техните системи за защита.

#Instagram, # meta, # изкуствен интелект, # киберсигурност, # превземане на акаунти
По материали от Интернет

Подобни

Изтичане на здравни данни в iRhythm
17.06.2026
ai-healthcare-9106907_1280
България пуска ИИ платформа за проследяване на над 51 млрд. евро по обществени поръчки
16.06.2026
image00001-1229x1536
ФБР предупреждава за нова схема
16.06.2026
FBI-cryptocurrency
Съветът на Европа разследва твърдения за пробив
16.06.2026
2000px-Flag_of_the_Council_of_Europe.svg_
Бивш ИТ служител получи ефективна присъда
16.06.2026
cyber-4444450_640
Velvet Ant поддържа достъп до критична инфраструктура10 години
16.06.2026
china_TY_Lim_shutterstock

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy