Критический баг Instagram: ИИ-техподдержки открыл доступ хакерам
Узнайте детали громкого взлома Instagram в июне 2026 года. Как уязвимость ИИ-чатбота техподдержки помогла хакерам захватить аккаунты известных брендов.
В начале июня 2026 года мир кибербезопасности потрясла серия масштабных взломов аккаунтов в Instagram. Инцидент, затронул государственные страницы, аккаунты мировых брендов, известных экспертов и обнажил критическую проблему: делегирование полномочий ИИ-чатботам без надлежащих протоколов верификации.
Критический баг Instagram: ИИ-техподдержки открыл доступ хакерам
Данная уязвимость Meta не требовала от хакеров глубоких знаний в программировании. Атака базировалась на манипуляции логикой автоматизированного ИИ-ассистента, который был наделен правами на смену контактных данных пользователей без обязательной проверки личности. Инцидент стал тревожным сигналом для всех технологических гигантов, внедряющих искусственный интеллект в критические бизнес-процессы.
Механика взлома: триумф социальной инженерии
Согласно отчету издания 404 Media и данным профильных экспертов, атака использовала классическую уязвимость, известную в программировании как «confused deputy» (запутанный заместитель). ИИ-бот, созданный для облегчения доступа к аккаунтам, имел доступ к критическим API, но не обладал «интуицией» для распознавания мошенничества.
Алгоритм действий злоумышленников был пугающе прост:
- Использование VPN для имитации географического положения законного владельца аккаунта.
- Инициирование диалога с ИИ-поддержкой с запросом на смену email.
- Принуждение ИИ-чатбота к отправке кода подтверждения на подконтрольный хакерам адрес.
- Сброс пароля и перехват доступа к профилю в обход стандартных блоков безопасности.
Масштаб последствий
Взлом затронул широкий спектр верифицированных профилей. Среди пострадавших оказались архивная страница Белого дома эпохи Барака Обамы, косметический гигант Sephora, а также аккаунт главного мастер-сержанта Космических сил США Джона Бентивеньи. Эксперты отмечают, что совокупная рыночная стоимость украденных никнеймов оценивалась в сумму свыше 1 миллиона долларов, а торговля ими велась через закрытые каналы в Telegram.
| Тип объекта атаки | Примеры пострадавших |
|---|---|
| Государственные страницы | White House (архивный аккаунт) |
| Крупный ритейл | Sephora |
| Военные чины | Джон Бентивеньи (Космические силы США) |
| Экспертное сообщество | Джейн Манчун Вонг |
Почему двухфакторная аутентификация не спасла?
Многие пользователи задаются вопросом, как хакеры обошли двухфакторную аутентификацию (2FA). Исследования показали, что ИИ-ассистент имел привилегированные права, позволяющие ему инициировать процессы смены email, которые технически предшествовали проверке 2FA. По сути, бот выступал «доверенным лицом» системы, и его действия признавались легитимными автоматически. Этот инцидент показал, что автоматизация без жестких «человеческих» проверок становится главным риском для безопасности данных.
Уроки безопасности для эпохи ИИ
Компания Meta официально заявила, что уязвимость устранена, а доступ к скомпрометированным аккаунтам восстанавливается. Однако профессиональное сообщество настаивает на необходимости фундаментального пересмотра подходов к ИИ-поддержке.
Взлом 2026 года стал показал, что киберпреступники могут продолжать использовать подобные методы, поэтому доверие к «умным» помощникам должно быть сбалансировано строгим контролем со стороны разработчиков.
