Meta修复漏洞,数千Instagram账户被盗
2026年6月6日消息,Meta修复了一个漏洞,该漏洞曾使任何人都能诱骗其Meta AI聊天机器人重置未开启双因素认证的Instagram账户密码。Meta正在通知数千名用户,他们的Instagram账户在长达数月的公司AI聊天机器人滥用事件中被劫持,黑客多次诱骗该聊天机器人,从而控制了用户的账户。
攻击规模与影响曝光
在一份新的数据泄露通知信中,Meta首次披露了在这场长期黑客攻击活动中有多少人的账户被劫持。该活动于本周早些时候被发现,404 Media和TechCrunch率先进行了报道。根据周五晚些时候提交给缅因州总检察长办公室的数据泄露通知,Meta通知了至少20225人,他们的账户已被入侵,其中包括缅因州的30人。此次入侵使黑客能够接管用户的整个Instagram账户以及任何关联账户,获取用户的联系信息、出生日期和个人资料信息,还能访问用户的帖子、直接消息和账户活动。
漏洞利用方式揭秘
Meta的通知证实,此次数据泄露与 “Instagram的AI辅助账户恢复系统中的一个漏洞” 有关,该漏洞被利用来 “对Instagram用户账户进行密码重置”。黑客利用了Meta聊天机器人的一个缺陷,该缺陷使任何人都能重置未开启双因素认证的账户密码。黑客只需向聊天机器人提出请求,就能诱使它将验证码发送到黑客控制的电子邮件地址,而不是账户持有者在档案中登记的电子邮件地址,聊天机器人也会照做。
Meta回应与措施
Meta在数据泄露通知中表示:“该工具本身运行正常,按预期工作;然而,由于另一个代码路径中的漏洞,系统未能正确验证请求重置密码的人提供的电子邮件地址是否与该用户Instagram账户关联的电子邮件地址匹配。” 该公司补充道:“因此,当有人提供一个与账户之前未关联的电子邮件地址时,系统错误地将密码重置链接发送到了该未关联的电子邮件地址,而不是拒绝该请求。这使得未经授权的第三方能够收到他们并不拥有的账户的密码重置链接。” Meta称,此时黑客可以重置某人的密码,并像合法所有者一样接管他们的账户。
后续处理与未知问题
Meta表示,“不清楚” 在此次黑客攻击中是否有个人信息被访问。根据缅因州的记录,此次黑客攻击大约从4月17日开始,一直持续到本周,Meta称已对聊天机器人进行了安全加固。据报道,Instagram本周早些时候开始通过发送密码重置通知来通知受影响的用户,尽管有人报告称黑客攻击仍在继续。Meta在通知中还确认,已提醒用户保护好自己的账户,称 “已指示受影响的用户重置密码,并通过安全、经过验证的渠道重新进行身份验证”。Meta表示,目前已停用该AI聊天机器人,并移除了允许聊天机器人重置用户账户的代码路径。此外,该公司还在检查其平台上的其他聊天机器人,以防止类似事件再次发生。目前尚不清楚是什么情况导致聊天机器人被滥用,但就在不久前,Meta解雇了数千名员工,同时用股票激励奖励高层管理人员,而该公司仍在大力投入AI领域。那么,Meta能否彻底杜绝此类安全问题的再次发生呢?
的排查与解决全记录)