Σύνοψη
- Η Meta επιβεβαίωσε την υποκλοπή 20.225 λογαριασμών Instagram μέσω εκμετάλλευσης ευπάθειας στο σύστημα υποστήριξης τεχνητής νοημοσύνης (High Touch Support - HTS).
- Η επίθεση επέτρεψε σε τρίτους να αποκτήσουν συνδέσμους επαναφοράς κωδικού δηλώνοντας απλώς ένα δικό τους email, παρακάμπτοντας την ανάγκη για έλεγχο ταυτότητας δύο παραγόντων (2FA).
- Οι επιτιθέμενοι απέκτησαν πρόσβαση σε προσωπικά δεδομένα όπως άμεσα μηνύματα (DMs), φωτογραφίες, στοιχεία επικοινωνίας και ιστορικό δραστηριότητας.
- Το εργαλείο HTS απενεργοποιήθηκε άμεσα, ενώ η Meta προχώρησε σε υποχρεωτικό έλεγχο ασφαλείας και επαναφορά κωδικών για τους επηρεαζόμενους χρήστες.
Η ενσωμάτωση της τεχνητής νοημοσύνης στις ροές εξυπηρέτησης πελατών αποτελεί τη νέα μεγάλη πρόκληση για την κυβερνοασφάλεια. Η Meta ανακοίνωσε επίσημα ότι πάνω από 20.000 χρήστες του Instagram έπεσαν θύματα παραβίασης, έπειτα από στοχευμένη επίθεση που εκμεταλλεύτηκε το σύστημα λογισμικού υποστήριξης της εταιρείας. Η συγκεκριμένη παραβίαση, η οποία αποκαλύφθηκε μέσω εγγράφων που κατατέθηκαν στο Γραφείο του Γενικού Εισαγγελέα της πολιτείας του Maine στις ΗΠΑ, φέρνει στο προσκήνιο τους κινδύνους που κρύβει η αυτοματοποίηση κρίσιμων διαδικασιών ανάκτησης λογαριασμών.
Πώς λειτουργούσε το κενό ασφαλείας στο σύστημα HTS της Meta;
Σύμφωνα με την επίσημη αναφορά της Meta, το AI σύστημα High Touch Support (HTS) εμφάνισε μια σοβαρή λογική ευπάθεια. Συγκεκριμένα, όταν ένας χρήστης ζητούσε επαναφορά κωδικού πρόσβασης, το σύστημα έστελνε τον σύνδεσμο ανάκτησης στη διεύθυνση email που δήλωνε ο αιτών, χωρίς να επιβεβαιώνει εάν αυτό το email ταυτιζόταν με εκείνο που ήταν εξ αρχής συνδεδεμένο στον στοχευμένο λογαριασμό Instagram.
Αυτό το κατασκευαστικό σφάλμα στη λογική ροή του κώδικα έδωσε τη δυνατότητα σε κακόβουλους τρίτους να καταχωρούν τις δικές τους διευθύνσεις ηλεκτρονικού ταχυδρομείου κατά τη διαδικασία υποστήριξης, λαμβάνοντας άμεσα τους συνδέσμους επαναφοράς. Αποτέλεσμα ήταν η άμεση απόκτηση πρόσβασης στα προφίλ, εντελώς αθόρυβα και παρακάμπτοντας πλήρως τα μέτρα ασφαλείας, εφόσον ο κάτοχος δεν είχε ενεργοποιήσει έλεγχο ταυτότητας δύο παραγόντων (2FA) μέσω τρίτης εφαρμογής.
Εκτεταμένη έκθεση δεδομένων
Η κλίμακα της επίθεσης επηρέασε ακριβώς 20.225 εγγεγραμμένους χρήστες. Οι πρώτες ενδείξεις της κακόβουλης δραστηριότητας εντοπίζονται στις 17 Απριλίου 2026, ενώ η Meta αντιλήφθηκε και κατέγραψε την ευπάθεια στις 31 Μαΐου 2026. Η εταιρεία ξεκαθάρισε ότι οι επιτιθέμενοι είχαν τη δυνατότητα να υποκλέψουν και να συλλέξουν εξαιρετικά ευαίσθητα δεδομένα, στα οποία περιλαμβάνονται:
- Στοιχεία επικοινωνίας (αριθμοί τηλεφώνων, email).
- Προσωπικά μηνύματα (Direct Messages) και ιστορικό επικοινωνιών.
- Αναρτήσεις, ιστορίες (stories), φωτογραφίες και βίντεο.
- Ιστορικό δραστηριότητας, αλληλεπιδράσεων και συνδεδεμένων λογαριασμών.
- Ημερομηνίες γέννησης και δεδομένα βιογραφικού.
Άμεσες ενέργειες αποκατάστασης
Η ανακάλυψη της επίθεσης έθεσε άμεσα εκτός λειτουργίας το σύστημα HTS. Η Meta ακύρωσε αναδρομικά όλους τους συνδέσμους επαναφοράς κωδικού που είχαν παραχθεί από το συγκεκριμένο AI εργαλείο. Παράλληλα, τοποθέτησε τους λογαριασμούς που είχαν παραβιαστεί σε καθεστώς υποχρεωτικού ελέγχου, αναγκάζοντας τους πραγματικούς κατόχους να επαναφέρουν τον κωδικό τους και να επαληθεύσουν εκ νέου τα στοιχεία τους για να ανακτήσουν τον πλήρη έλεγχο.
Η εταιρεία δεσμεύτηκε πως, πριν την επανέναρξη του εργαλείου υποστήριξης, θα επιδιορθώσει τους ελέγχους ταυτοποίησης στο σημείο εισόδου της ανάκτησης λογαριασμών του Instagram. Η νέα διαδικασία θα απαιτεί αυστηρή επαλήθευση των διευθύνσεων email με τις υπάρχουσες πληροφορίες της βάσης δεδομένων, πριν από την έναρξη οποιασδήποτε ενέργειας αλλαγής κωδικού.
Συνιστάται σε όλους τους χρήστες να ελέγξουν το ιστορικό συνδέσεων (Login Activity) μέσα από τις ρυθμίσεις της εφαρμογής και να ενεργοποιήσουν το 2FA χρησιμοποιώντας αποκλειστικά εφαρμογές ελέγχου ταυτότητας (π.χ. Google Authenticator) και όχι μηνύματα SMS, τα οποία είναι ευάλωτα σε επιθέσεις SIM swapping.
Το βεβαρημένο ιστορικό της Meta
Η συγκεκριμένη παραβίαση έρχεται να προστεθεί σε ένα ευρύτερο ιστορικό σοβαρών κενών ασφαλείας. Η ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) έχει ήδη επιβάλει πρόστιμο ύψους 264 εκατομμυρίων δολαρίων στη Meta για παραβίαση του 2018 που εξέθεσε στοιχεία 29 εκατομμυρίων λογαριασμών. Επιπροσθέτως, η εταιρεία κλήθηκε να καταβάλει 265 εκατομμύρια ευρώ τον Νοέμβριο του 2022 για ελλιπή προστασία από web scrapers, καθώς και επιπλέον 91 εκατομμύρια ευρώ για την αποθήκευση εκατοντάδων εκατομμυρίων κωδικών πρόσβασης σε μορφή απλού κειμένου.
