Как происходил взлом
Схема атаки состояла из нескольких последовательных шагов:
- Маскировка местоположения. Хакер использовал VPN, чтобы имитировать геолокацию жертвы. Это позволяло обойти защитные механизмы Instagram, которые блокируют подозрительные входы из непривычных регионов.
- Взаимодействие с чат‑ботом. Злоумышленник обращался к Meta AI Support Assistant с просьбой добавить новый email в аккаунт жертвы.
- Получение кода подтверждения. Чат‑бот отправлял код на email, указанный хакером (не на оригинальный адрес жертвы).
- Подтверждение через бота. Хакер передавал полученный код чат‑боту, который после верификации показывал кнопку «Сбросить пароль».
- Смена пароля. Злоумышленник устанавливал новый пароль и получал полный контроль над аккаунтом.
Почему это сработало: уязвимости системы
Атака эксплуатировала сразу несколько слабых мест:
- Доверие к боту. Автоматизированная система поддержки действовала без дополнительной проверки подлинности запроса (например, не запрашивала подтверждение через основной email или двухфакторную аутентификацию).
- Гибкость смены email. Возможность добавить новый email через чат без строгой верификации открывала лазейку для перехвата аккаунта.
- Отсутствие привязки к оригинальному email. Код подтверждения отправлялся на любой указанный адрес, а не только на тот, что был изначально привязан к аккаунту.
- Слабая геолокационная защита. VPN позволял обойти триггеры безопасности, срабатывающие на подозрительные локации.
Что сделала Meta
Компания оперативно отреагировала:
- Устранила уязвимость, позволявшую чат‑боту добавлять новый email без должной проверки.
- Представитель Instagram (Энди Стоун) подтвердил исправление проблемы в понедельник.
- Точное число пострадавших аккаунтов не раскрыто.
Рекомендации для пользователей Instagram
Чтобы минимизировать риски взлома, выполните следующие шаги:
- Включите двухфакторную аутентификацию (2FA). Используйте приложение‑аутентификатор (Google Authenticator, Authy), а не SMS — это надёжнее.
- Проверьте привязанные email и номера. Убедитесь, что в настройках аккаунта указаны только ваши контакты. Перейдите в Настройки → Аккаунт → Личная информация.
- Мониторинг активности. Регулярно проверяйте раздел Безопасность → Активные сеансы. Завершите все подозрительные сессии.
- Используйте сложный пароль. Создайте уникальную комбинацию из букв, цифр и символов длиной не менее 12 знаков. Избегайте паролей, которые использовались на других сайтах.
- Будьте осторожны с фишингом. Не переходите по ссылкам из подозрительных писем или сообщений, даже если они якобы от Meta. Официальные уведомления приходят только через приложение или на подтверждённый email.
- Обновляйте приложение. Убедитесь, что у вас установлена последняя версия Instagram — в ней содержатся актуальные патчи безопасности.
- Настройте оповещения о входе. Включите уведомления о новых входах в аккаунт — это позволит быстро обнаружить несанкционированный доступ.
Дополнительные меры для владельцев важных аккаунтов
Если ваш аккаунт содержит чувствительные данные или имеет публичную значимость:
- Рассмотрите возможность включения дополнительной верификации через доверенные контакты (если функция доступна).
- Ограничьте круг лиц, которые могут упоминать вас или отмечать на фото — это снизит риск фишинговых атак через комментарии.
- Регулярно скачивайте архив данных аккаунта (Настройки → Конфиденциальность и безопасность → Скачать информацию), чтобы иметь резервную копию контента.
