Meta* исправила уязвимость в Instagram, позволявшую взламывать аккаунты через чат-бота

Компания Meta* подтвердила и исправила критическую уязвимость в системе восстановления доступа к Instagram**, которая позволяла мошенникам захватывать аккаунты без ведома владельцев. Проблема была связана с чат-ботом Meta AI, помогающим сбросить пароль.

Согласно уведомлению, поданному в Генеральную прокуратуру штата Мэн, компания уведомила не менее 20 225 пользователей о взломе их учётных записей. Злоумышленники использовали уязвимость в коде бота: он не проверял, совпадает ли введённый адрес электронной почты с привязанным к аккаунту. В результате система отправляла ссылку для сброса пароля на произвольный email, подконтрольный мошенникам.

Получив доступ, аферисты могли просматривать личные сообщения, контакты, дату рождения и захватывать связанные с аккаунтом сервисы. Атака срабатывала только в том случае, если у жертвы не была включена двухфакторная аутентификация.

В Meta* пояснили, что сам инструмент восстановления работал исправно, но из-за ошибки в отдельном участке кода система не сверяла email, указанный при запросе, с email владельца аккаунта. «Когда пользователь указывал адрес, ранее не связанный с учётной записью, система ошибочно отправляла ссылку для сброса пароля на этот адрес вместо того, чтобы отклонить запрос», — сообщили в компании.

На данный момент Meta* отключила чат-бота и удалила код, позволявший ему сбрасывать пароли. Также проведена проверка других чат-ботов на платформе для предотвращения подобных инцидентов.

Напомним, что деятельность Meta Platforms* признана экстремистской на территории России, а принадлежащие ей соцсети Facebook**, Instagram** и WhatsApp** запрещены.