Aanvallers hebben twintigduizend Instagram-accounts gehackt door Meta's AI-bot het wachtwoord te laten resetten, zo heeft Meta zelf bekendgemaakt. Volgens het techbedrijf maakten de aanvallers misbruik van het 'AI-assisted account recovery system for Instagram' om wachtwoordresets voor Instagram-accounts uit te voeren. Via deze tool kunnen gebruikers die geen toegang meer tot hun account hebben weer toegang krijgen.

Gebruikers kunnen tijdens het recoveryproces de AI-bot vragen om een wachtwoordresetlink naar hun e-mailadres te sturen. Volgens Meta zorgde een bug in de code ervoor dat de AI-bot niet goed controleerde of het e-mailadres dat een gebruiker verstrekte om de resetlink naar toe te sturen ook bij het betreffende Instragram-account hoorde. Zodoende was het mogelijk voor aanvallers om een wachtwoordresetlink op te vragen voor Instagram-accounts die niet van hen waren. Vervolgens konden de aanvallers de wachtwoorden resetten en inloggen op accounts waarvoor tweefactorauthenticatie (2FA) niet was ingeschakeld, aldus Meta in een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine.

Via de gehackte Instagram-accounts hebben de aanvallers mogelijk toegang gekregen tot e-mailadressen, telefoonnummers, geboortedatum, socialmediaposts, privéberichten, account-activiteit, profielgegevens en andere verbonden accounts en services. Meta zegt dat het de AI-bot is uitgeschakeld en de betreffende code waardoor de aanval mogelijk was verwijderd. Tevens hebben getroffen gebruikers de instructie gekregen om hun wachtwoord te resetten en zich via 'veilige geverifieerde kanalen' opnieuw te authenticeren.