Назад к ленте

Как хакеры зарабатывают миллионы на глупости ИИ и беспомощности техподдержки Instagram

📅 02.06.2026 14:00

Логическая уязвимость в ИИ-ассистенте восстановления доступа Instagram (принадлежит компании Meta, признанной в РФ экстремистской) позволила злоумышленникам перехватывать ценные аккаунты без взлома инфраструктуры. Мошенники просто уговаривали чат-бота переслать ссылку для сброса пароля. Высокоценные «OG»-аккаунты стоимостью в сотни тысяч долларов угоняли и перепродавали в Telegram в течение нескольких минут после компрометации.

Проблему публично подняли исследователи в области кибербезопасности. Пользователь X под ником vx-underground, утверждает, что Instagram до сих пор не закрыл брешь. Аккаунты продолжают угонять, а компания фактически молчит о происходящем.

Хотите еще эксклюзивных новостей и аналитики? Подписывайтесь на наш телеграм-канал, обсуждайте и делитесь мнениями о последних событиях рынка в чате!

В чем суть уязвимости

Атака не затрагивала инфраструктуру Meta напрямую — брешь находилась в логике самого ИИ-ассистента. У Instagram слабая служба поддержки с дефицитом живых операторов. Восстановление доступа к заблокированному аккаунту может занимать недели переписки с автоматизированной тикет-системой. Решением Meta стал разговорный ИИ-слой, который обрабатывал типовые сценарии восстановления: перепривязку утерянного адреса почты, запуск сброса пароля, подтверждение владения аккаунтом.

Чтобы выполнять эти функции, ассистент получил реальный доступ к API управления аккаунтами. Исследователи описали ключевой сбой как классическую уязвимость «запутанного помощника» (confused deputy) — класс эскалации привилегий, впервые задокументированный Норманом Харди в 1988 году. ИИ-ассистент обладал привилегированным доступом на запись к API управления аккаунтами, который рядовой пользователь не мог вызвать напрямую. Атакующий без каких-либо учетных данных скармливал ассистенту команду, и тот, не имея детерминированной точки проверки подлинности, выполнял вызов API без вопросов.

Сценарий атаки оказался простым:

  • Злоумышленник определял цель — короткий «OG»-хендл (сленговое название редких, коротких и очень престижных имен пользователей (никнеймов)), имеющий высокую цену на сером рынке.
  • Поднимал VPN или резидентный прокси под геопозицию цели, чтобы обойти антифрод-защиту.
  • Открывал чат с ИИ-поддержкой и просил привязать новый адрес почты к указанному имени пользователя.
  • ИИ принимал запрос и направлял ссылку для сброса пароля на почту атакующего.
  • Мошенник устанавливал новый пароль и перебирал резервные коды, полностью отрезая исходного владельца от аккаунта.

Запрос на двухфакторную аутентификацию при этом не появлялся, подтверждение на зарегистрированный контакт не уходило, а весь процесс занимал считаные минуты.

Среди угнанных оказались хендлы @hey и @jowo с суммарной оценкой выше $1 000 000. Перехватили и спящий аккаунт Obama White House, не публиковавший записей с 20 января 2017 года.

Поскольку ручной разбор споров об угоне у Meta измеряется днями, а не минутами, у атакующих было рабочее окно: украденные хендлы выставлялись в Telegram почти мгновенно, а брокеры схемы «угон аккаунтов как услуга» уже имели готовую инфраструктуру для сбыта.

Иллюстрация беспомощности Инсты

На скриншоте ниже показана переписка пострадавшего пользователя со службой поддержки Meta, которая иллюстрирует полную беспомощность операторов перед лицом новой угрозы.

О чем речь: Пользователь пытается объяснить агенту поддержки, что хакеры нашли эксплойт, который позволяет им обходить и полностью удалять двухфакторную аутентификацию (2FA) в Instagram.

В чем проблема: Техподдержка абсолютно не понимает специфику уязвимости. Вместо реальной помощи оператор отвечает шаблонными фразами о том, что «это звучит невозможно», и продолжает доказывать, как работает стандартная 2FA. Это подтверждает главный тезис: даже если пользователю удается пробиться сквозь ИИ-ботов к живому человеку, поддержка Meta оказывается бесполезной, так как не знает о логических брешах в собственной системе.

переписка со службой поддержки Meta
Источник: x.com/weezerOSINT

Что думают пользователи X

Реакция под постом разделилась между сарказмом, тревогой и претензиями к самой ставке на искусственный интеллект.

Часть комментаторов не поверила, что брешь могла оставаться открытой. Пользователи реагировали короткими репликами вроде «Серьезно, они так и не отключили ИИ-поддержку?», «Они правда не починили?» и «До сих пор без патча — это безумие». Сквозной мотив — изумление, что система с доступом к сбросу паролей продолжает работать после публичной огласки.

Громче всего звучала критика самого подхода с поспешным внедрением ИИ. Один из пользователей отметил, что одержимость компаний скорейшим внедрением ИИ вместо найма дополнительных специалистов по кибербезопасности выглядит дикой. Другие иронизировали над качеством разработки — мол, в режиме «вайб-кодинга» написали и саму систему, и патч к ней, так что удивляться нечему. Прозвучала и саркастичная реклама-пародия про «запатентованный ИИ-спрей»: брызни немного ИИ — и смотри, как растут твои проблемы.

Напомним, ранее редакция BeInCrypto писала о том, что работодатели массово признают, что обычные сотрудники дешевле ИИ.

The post Как хакеры зарабатывают миллионы на глупости ИИ и беспомощности техподдержки Instagram appeared first on BeInCrypto.

Рекомендованный контент