Компания Meta⁠ подтвердила наличие уязвимости в одном из инструментов поддержки пользователей на базе искусственного интеллекта, из-за которой могли быть скомпрометированы более 20 тыс. аккаунтов Instagram.

Как сообщает БР со ссылкой на издание Bleeping Computer, по информации компании, проблема была связана с работой инструмента High Touch Support (HTS), предназначенного для восстановления доступа к заблокированным учетным записям. Уязвимость позволяла злоумышленникам привязывать к чужим аккаунтам собственные адреса электронной почты и получать ссылки для сброса пароля.

Как сообщили в Meta, потенциально инцидент затронул 20 225 пользователей. Вместе с тем вице-президент компании по правовым вопросам реагирования на инциденты Эмбер Ханна отметила, что фактическое число пострадавших может оказаться ниже, поскольку часть сбросов паролей могла быть выполнена законными владельцами учетных записей.

Согласно данным компании, уязвимость была обнаружена 31 мая. После выявления проблемы Meta отключила соответствующий инструмент и приступила к устранению недостатков системы безопасности.

В компании пояснили, что при обработке некоторых запросов система не проверяла должным образом соответствие адреса электронной почты, указанного заявителем, адресу, привязанному к аккаунту Instagram. В результате ссылка для сброса пароля могла быть отправлена на сторонний электронный адрес, что создавало риск несанкционированного доступа к учетной записи.

По данным зарубежных СМИ, среди взломанных оказались как частные, так и известные аккаунты, включая страницы государственных структур и крупных брендов. Сообщается, что некоторые учетные записи впоследствии были выставлены на продажу в даркнете.

Meta заявила, что пока не располагает полной информацией о том, получили ли злоумышленники доступ к персональным данным пользователей. Однако в случае компрометации аккаунтов под угрозой могли оказаться сведения профиля, адреса электронной почты, номера телефонов, даты рождения, личная переписка и другая информация, связанная с активностью пользователей.

Компания уже начала рассылку уведомлений затронутым пользователям и рекомендует проверить настройки безопасности аккаунтов, а также включить двухфакторную аутентификацию.

В Meta подчеркнули, что ссылки для сброса паролей, созданные с использованием выявленной уязвимости, были деактивированы, а владельцы потенциально затронутых аккаунтов обязаны пройти дополнительную проверку безопасности и сменить пароли.