Компания Meta сообщила о компрометации более 20 тысяч аккаунтов Instagram вследствие уязвимости в системе восстановления доступа, использующей технологии искусственного интеллекта. Информация об инциденте была раскрыта в уведомлении о нарушении безопасности, направленном американским регуляторам, сообщает Qazinform.com.

По данным компании, инцидент затронул 20 225 пользователей Instagram. Причиной стала ошибка в работе сервиса High Touch Support (HTS) — инструмента на базе ИИ, предназначенного для помощи пользователям в восстановлении доступа к заблокированным учетным записям.

Meta обнаружила проблему 31 мая, однако, как предполагается, злоумышленники начали использовать уязвимость еще 17 апреля. После выявления инцидента компания приняла меры для защиты затронутых аккаунтов и предотвращения дальнейшего несанкционированного доступа.

Как пояснили в Meta, проблема была связана не с самим инструментом восстановления, а с отдельным компонентом системы проверки данных. При запросе на сброс пароля HTS не всегда корректно проверял соответствие указанного адреса электронной почты аккаунту пользователя. В результате ссылки для смены пароля могли быть отправлены на электронные адреса, контролируемые злоумышленниками.

Получив возможность изменить пароль, злоумышленники могли получить доступ к учетным записям, если на них не была активирована двухфакторная аутентификация.

Компания отметила, что пока не располагает подтвержденной информацией о том, были ли похищены персональные данные пользователей. Однако в скомпрометированных аккаунтах потенциально могли содержаться электронные адреса, номера телефонов, даты рождения, личные сообщения, фотографии, видеозаписи, истории, сведения профиля и данные о подключенных сервисах.

После обнаружения уязвимости Meta временно отключила систему HTS, аннулировала все созданные через нее ссылки для сброса паролей и ввела дополнительные меры безопасности для затронутых аккаунтов. Пользователи получают уведомления о возможном риске и рекомендации проверить настройки безопасности, а также включить двухфакторную аутентификацию.

В компании заявили, что перед повторным запуском сервиса будет доработан механизм проверки пользователей. Кроме того, проводится комплексный аудит аналогичных систем восстановления аккаунтов на других платформах Meta для выявления и устранения возможных уязвимостей.

Ранее агентство Qazinform сообщало, что Meta усилила меры защиты подростков на своих цифровых платформах по всему миру.