Уязвимость в ИИ-инструменте восстановления доступа High Touch Support позволила злоумышленникам захватить не менее 20 225 аккаунтов Instagram. Цифра фигурирует в официальном уведомлении о нарушении безопасности данных, которое Meta направила генеральному прокурору штата Мэн, — это первое публичное признание масштабов инцидента. Сама компания называет 20 225 верхней границей: часть попыток доступа могла исходить от законных владельцев аккаунтов.
High Touch Support — это специализированный чатбот, разработанный для помощи пользователям, потерявшим доступ к своим профилям. Инструмент позиционировался Meta как элемент системы безопасности аккаунтов. Проблема крылась в отдельной ветке кода: при обработке запроса на восстановление система отправляла ссылку для сброса пароля на любой указанный email-адрес, не проверяя, ли он привязан к запрашиваемому аккаунту. Фактически это означало, что любой желающий мог инициировать сброс пароля чужого профиля, указав собственный адрес электронной почты.
| Параметр | Данные |
|---|---|
| Начало атак | около 17 апреля 2026 года |
| Дата обнаружения | 31 мая 2026 года |
| Продолжительность кампании | около 7 недель |
| Скомпрометированных аккаунтов (верхняя граница) | 20 225 |
| Из них в штате Мэн | 30 |
| Затронутые данные | контакты, даты рождения, посты, личные сообщения, история активности, связанные сервисы |
Атаки начались приблизительно 17 апреля 2026 года. Meta обнаружила кампанию лишь 31 мая — спустя почти семь недель после её старта. За это время злоумышленники потенциально получили доступ к контактным данным, датам рождения, публикациям, личным сообщениям, истории активности, информации профиля и связанным сторонним сервисам. Компания признаёт, что не знает, какие именно данные были просмотрены в каждом конкретном случае.
Баг в коде позволял отправлять ссылки для сброса пароля на любой email без проверки владельца аккаунта.
Реакция Meta оказалась многоуровневой: чатбот был немедленно отключён, уязвимый участок кода удалён, а все ссылки для сброса пароля, сгенерированные через систему, аннулированы. Пострадавшие пользователи переведены на обязательный контрольный пункт безопасности с требованием сменить пароль через верифицированные каналы. Перед повторным запуском High Touch Support компания намерена устранить отсутствие проверки email и провести аудит аналогичных механизмов восстановления доступа на всех своих платформах — включая Facebook и WhatsApp.
Инцидент обнажает структурный риск, характерный для ИИ-систем, встроенных в критические процессы управления аккаунтами. Когда автоматизированный инструмент берёт на себя функцию верификации личности, ошибка в логике проверки превращается в масштабируемый вектор атаки: хакеру не нужно взламывать каждый аккаунт отдельно — достаточно найти одну системную брешь и эксплуатировать её тысячи раз. Именно это и произошло с High Touch Support.
Контекст инцидента добавляет остроты: в последние месяцы Meta провела масштабные сокращения персонала, одновременно наращивая инвестиции в ИИ. Чатбот, ставший источником утечки, прежде преподносился компанией как шаг вперёд в защите пользователей. Теперь тот же инструмент оказался в центре одного из крупнейших задокументированных инцидентов с захватом аккаунтов в истории платформы.
