【CNMO科技消息】近日,Meta透露,此前发生在Instagram上的一次严重安全事件已导致约2万个账户被犯罪分子盗取。问题出在一套用于协助用户恢复被封禁账户的AI客服系统。由于程序存在缺陷,该工具在重置密码时未验证申请邮箱是否属于目标账户,给攻击者提供了可乘之机。
Instagram
根据披露的信息,这一漏洞在2026年4月中旬至5月底期间被持续利用。攻击者通过相关聊天机器人申请密码重置链接,系统却未核验所填写邮箱与账号绑定信息是否一致。借此,攻击者可以把他人账户与自己的邮箱关联,并在目标用户未启用双重身份验证的情况下接管账户。为降低被发现的风险,相关人员还通过VPN伪装地理位置,使其看起来与受害者所在区域一致。
Meta表示,攻击者获得账户控制权后,可能进一步接触到账户中的敏感信息,包括私信、出生日期、电话号码以及私人照片。若相关账户与该公司其他平台存在关联,理论上也可能带来更大范围的安全风险。与此同时,一些通过漏洞获得的短字符或较易识别的用户名,也在社交平台上的灰色交易网络中被转卖。
在2026年5月31日发现漏洞后,Meta已停用涉事客服系统,并使此前生成的所有密码重置链接失效。可能受影响的账户目前需要完成强制安全流程,账户持有人需重新验证身份并尽快修改登录信息。Meta称,只有在能够可靠验证账户联系信息后,该数字客服工具才会重新上线。