Shkelja e sigurisë së chatbot-it AI të Instagramit mund të ketë prekur mbi 20,000 llogari
Në një njoftim zyrtar për shkelje të të dhënave, Meta për herë të parë ka vënë një numër në fushëveprimin e dobësisë tashmë të njohur në chatbot-in e saj të mbështetjes së inteligjencës artificiale. Fushata e hakerimit zgjati për gati shtatë javë.
Meta ka lëshuar një njoftim për shkelje të të dhënave drejtuar zyrës së Prokurorit të Përgjithshëm të Maine-it, me shifrat e para konkrete mbi fushatën e hakerimit që synonte llogaritë e Instagram-it. Të paktën 20,225 llogari u kompromentuan, përfshirë 30 në Maine.
Hakerët shfrytëzuan chatbot-in mbështetës të Meta-s, të mundësuar nga inteligjenca artificiale, për Instagram për muaj të tërë, për të marrë nën kontroll llogaritë e njerëzve të tjerë. Chatbot-i, një mjet për rikuperimin e llogarisë i quajtur “High Touch Support”, u krijua për të ndihmuar përdoruesit e bllokuar të rifitonin aksesin. Por një gabim në një shteg të veçantë kodi nënkuptonte se sistemi nuk kontrollonte kurrë nëse adresa e email-it të dhënë i përkiste në të vërtetë llogarisë në fjalë të Instagram-it.
Sipas njoftimit, sulmet filluan rreth datës 17 prill 2026 dhe nuk u zbuluan deri më 31 maj. Sulmuesit shfrytëzuan të metën tashmë të njohur në sistemin e rikuperimit “High Touch Support” të mundësuar nga inteligjenca artificiale, i cili dërgoi lidhje për rivendosjen e fjalëkalimit në çdo adresë emaili pa verifikuar nëse i përkiste llogarisë.
Meta e quan shifrën prej 20,225 një kufi të sipërm, pasi disa përpjekje për akses mund të kenë ardhur nga mbajtës legjitimë llogarish. Të dhënat që ishin potencialisht të aksesueshme përfshijnë informacionin e kontaktit, datat e lindjes, postimet, mesazhet direkte, aktivitetin e llogarisë, informacionin e profilit dhe shërbimet e lidhura, sipas Meta. Kompania thotë se nuk e di se cilat informacione janë parë në të vërtetë. Thisweekinsecurity raportoi i pari për njoftimin.
Si një përgjigje të menjëhershme, Meta çaktivizoi chatbot-in e inteligjencës artificiale, hoqi rrugën e gabuar të kodit dhe i pavlefshoi të gjitha lidhjet e rivendosjes së fjalëkalimit të gjeneruara përmes sistemit. Përdoruesit e prekur u vendosën në një pikë kontrolli të detyrueshme sigurie dhe u kërkua të rivendosnin fjalëkalimet e tyre përmes kanaleve të verifikuara.
Përpara se ta riaktivizojë mjetin, Meta planifikon të rregullojë hapin e verifikimit të email-it në procesin e rikuperimit dhe të auditojë sisteme të ngjashme të rikuperimit të llogarisë në të gjitha platformat e saj. Incidenti vjen në një kohë kur Meta ka pushuar nga puna mijëra punonjës, ndërsa ka vënë bast shumë te inteligjenca artificiale. Chatbot-i i mbështetjes së inteligjencës artificiale ishte reklamuar më parë nga Meta si një fitore për sigurinë e llogarisë.