Хакеры взламывали Instagram через чат-бота Meta: как работала атака
Злоумышленники обманули AI-ассистент поддержки Meta и получали доступ к чужим аккаунтам без взлома почты жертвы.

Содержание
Instagram закрыл уязвимость, которую хакеры использовали для захвата чужих аккаунтов в выходные дни в конце мая 2026 года. Атака строилась не на взломе паролей или фишинге — злоумышленники манипулировали собственным AI-чат-ботом поддержки Meta, заставляя его самостоятельно выдавать доступ к учётным записям жертв.
Как работала схема
Принцип атаки оказался неожиданно простым. Хакер подключался через VPN, имитируя геолокацию жертвы, чтобы не сработала автоматическая защита Instagram от подозрительных входов. Затем он открывал диалог с Meta AI Support Assistant — встроенным чат-ботом поддержки — и просил добавить к целевому аккаунту новый адрес электронной почты, который контролировал сам.
Чат-бот отправлял код подтверждения на этот адрес. Хакер получал код, передавал его боту, и тот открывал кнопку сброса пароля. После этого злоумышленник устанавливал новый пароль и полностью захватывал аккаунт. Ключевой момент: на протяжении всей атаки хакеру не требовался доступ к оригинальной почте жертвы — именно это делало схему особенно опасной.
Редакция TechCrunch верифицировала атаку: журналисты проверили публичный почтовый ящик хакера, показанный в видео, и подтвердили, что код подтверждения действительно туда поступил.
Кто пострадал
Среди скомпрометированных аккаунтов оказались весьма заметные: страница Белого дома эпохи Обамы (неактивная с 2017 года) и аккаунт главного мастер-сержанта Космических сил США Джона Бентивеньи. Исследователь безопасности Джейн Вонг также сообщила о взломе своего аккаунта.
««Пароль был изменён без моего ведома, и в течение всего вчерашнего дня я получала различные попытки сброса пароля. Довольно тревожно», — написала Вонг.»
Сообщения о взломах появились в выходные на Reddit и в X. Точное число пострадавших пользователей по-прежнему неизвестно — Meta не ответила на запрос TechCrunch о комментарии.
Реакция Meta и последствия для рынка
Представитель Instagram Энди Стоун в понедельник, 2 июня, подтвердил в ответе на публикации Вонг и других пользователей, что уязвимость устранена. Никаких технических подробностей о характере бага и масштабах инцидента компания не раскрыла.
Атака обнажила системную проблему: AI-агенты поддержки, получающие доступ к чувствительным функциям аккаунта, становятся новой поверхностью для атак. Традиционные механизмы защиты — двухфакторная аутентификация, привязка к почте — оказались бесполезны, если сам бот поддержки может обойти их по запросу.
Для IT-специалистов и разработчиков это показательный кейс: интеграция LLM-агентов в системы с правами на изменение учётных данных требует отдельного уровня верификации, независимого от самого бота. Иначе социальная инженерия переключается с людей-операторов на модели.
Что это значит для белорусских пользователей и бизнеса
Instagram остаётся одной из ключевых платформ для белорусского малого и среднего бизнеса, особенно в сегментах e-commerce, beauty и HoReCa. Взлом бизнес-аккаунта через подобную схему — это не только потеря доступа, но и риск репутационного ущерба, слива переписки с клиентами и потери рекламных кабинетов.
Практические шаги, которые стоит предпринять прямо сейчас: проверьте список привязанных email-адресов в настройках аккаунта (Настройки → Аккаунт → Личные данные), включите двухфакторную аутентификацию через приложение-аутентификатор (не SMS), а также настройте уведомления о входе с новых устройств. Компаниям, которые ведут Instagram как бизнес-канал, имеет смысл ограничить круг людей с доступом к почте, привязанной к аккаунту.
Инцидент также актуален для белорусских IT-команд, разрабатывающих продукты с AI-агентами поддержки: архитектура, при которой бот может менять критические параметры аккаунта без дополнительного подтверждения со стороны пользователя, — это уязвимость по определению, вне зависимости от платформы.
— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business.








