Zhakowali 20 000 kont na Instagramie. Pomogła im w tym… sztuczna inteligencja Mety!

Oficjalne dane potwierdzają gigantyczny kryzys wizerunkowy i bezpieczeństwa, przed jakim stanął właśnie właściciel portalu Instagram. Wadliwie zaprogramowany bot wsparcia technicznego oparty na sztucznej inteligencji bezwiednie pomagał cyberprzestępcom, resetując hasła do profili bez jakiejkolwiek weryfikacji adresu e-mail. W efekcie w ręce cyfrowych bandytów wpadło około 20 000 kont, obnażając potężne luki w strategii wdrażania narzędzi AI na oślep.

Jak bot wsparcia stał się najlepszym przyjacielem hakerów?

Do tego bezprecedensowego ataku doszło między połową kwietnia a końcem maja 2026 roku. Cyberprzestępcy wzięli wtedy na celownik nowoczesny system automatycznej pomocy, znany jako High Touch Support. Narzędzie to, oparte na sztucznej inteligencji, miało w założeniu ułatwiać użytkownikom odzyskiwanie dostępu do zablokowanych profili. Zamiast tego stało się jednak idealnym wytrychem dla przestępców.

Mechanizm ataku okazał się przerażająco prosty, a wszystko przez kardynalny błąd w kodzie bota. Napastnicy kontaktowali się z wirtualnym asystentem i prosili o wygenerowanie linku do zresetowania hasła wybranego profilu. Przez rażące niedopatrzenie programistów, bot AI w ogóle nie sprawdzał, czy podany przez oszustów adres e-mail był powiązany z atakowanym kontem. Hakerzy bez problemu przypisywali więc cudze profile do własnych skrzynek pocztowych. Jedyną skuteczną barierą, która mogła ich powstrzymać, była aktywna dwuskładnikowa autentykacja (2FA) – profile bez tego zabezpieczenia przejmowano masowo. Aby nie wzbudzić podejrzeń systemów bezpieczeństwa Mety, napastnicy maskowali swoje działania za pomocą sieci VPN, które sztucznie symulowały lokalizację geograficzną prawowitych właścicieli kont.

Wyciek danych i lukratywny czarny rynek na Telegramie

Oficjalny komunikat, który Meta przesłała do Prokuratury Generalnej amerykańskiego stanu Maine (do którego dotarł serwis Bleeping Computer), nie pozostawia złudzeń co do skali zagrożenia. Przejęcie profilu na portalu Instagram to dopiero wierzchołek góry lodowej, ponieważ przestępcy zyskali dostęp do niezwykle wrażliwych pakietów informacji. W ich ręce wpadły prywatne wiadomości (DM), daty urodzenia, numery telefonów oraz prywatne galerie zdjęć. Co gorsza, istniało realne ryzyko, że hakerzy wykorzystają przejęte profile do infekowania innych platform powiązanych z ekosystemem Mety, co mogło zwielokrotnić straty użytkowników.

Równolegle w kadrach cyberprzestępczych na Telegramie rozkręcił się gigantyczny, nielegalny biznes. Przejęte konta, które charakteryzowały się krótkimi, unikalnymi lub łatwymi do zapamiętania nazwami użytkownika, stały się towarem luksusowym. Złodzieje błyskawicznie wystawiali te rzadkie i poszukiwane adresy na sprzedaż, inkasując od chętnych nabywców gigantyczne sumy pieniędzy.

Nagłe hamowanie Mety i przymusowe czyszczenie kont

Gdy 31 maja 2026 roku Meta w końcu zorientowała się, jak potężna dziura ziaje w ich systemie, reakcja była natychmiastowa. Wadliwy bot AI kompletnie odcięto od sieci, a wszystkie wygenerowane przez niego do tamtej pory linki resetujące hasła do kont na portalu Instagram, natychmiast unieważniono. Dla bezpieczeństwa uruchomiono procedury awaryjne. Wszystkie profile, które mogły paść ofiarą tej luki, zostały objęte przymusowym procesem weryfikacji. Ich właściciele muszą teraz przejść rygorystyczną ponowną autoryzację i natychmiast zaktualizować swoje dane logowania.

Wirtualny asystent wsparcia ma powrócić do pracy dopiero wtedy, gdy inżynierowie zyskają absolutną pewność, że proces weryfikacji kontaktowej działa bezbłędnie. Cała ta sytuacja rzuca jednak bardzo ponury cień na obecną strategię korporacji. Meta od dłuższego czasu wywiera ogromną presję na wdrażanie sztucznej inteligencji, spiesząc się z implementacją nowinek bez odpowiednich, rygorystycznych testów bezpieczeństwa. Oliwy do ognia dolewa fakt, że pracownicy firmy są wewnętrznie oceniani przez pryzmat tego, jak aktywnie korzystają z narzędzi AI i jak szybko wprowadzają je w życie.

Ciemna strona AI

To niestety nie pierwszy raz, kiedy Meta notuje spektakularną wpadkę wizerunkową związaną z ochroną prywatności. Warto przypomnieć, że w 2022 roku Irlandia nałożyła na koncern karę w wysokości 265 milionów euro za uchybienia w ochronie danych..Innym głośnym echem odbiła się grzywna wynosząca 91 milionów euro, gdy wyszło na jaw, że hasła milionów użytkowników przechowywano na serwerach w postaci zwykłego, niezaszyfrowanego tekstu. Najnowsza wpadka z botem AI pokazuje, że pogoń za technologicznymi trendami kosztem bezpieczeństwa może całkowicie zrujnować i tak mocno nadszarpnięte zaufanie społeczności internetowej.