Angripare lurade Metas supportchattbot att lämna ut åtkomst till profiler med miljontals följare.
Under helgen tog okända aktörer kontroll över flera högprofilerade Instagram-konton genom att be Metas egen AI-supportassistent om hjälp. Tekniken kringgick både lösenord och e-postverifiering och drabbade bland annat skönhetskedjan Sephora, det inaktiva @obamawhitehouse-handtaget och kontot tillhörande den amerikanska rymdstyrkans högsta underofficer John Bentivegna, enligt 404 Media som dokumenterade flera fall.
Bland de drabbade fanns även den välkända applikationsforskaren Jane Manchun Wong, som tidigare arbetat med produktanalys för Meta. ”Mitt Instagram-konto blev också hackat. Lösenordet ändrades utan min vetskap och jag fick olika återställningsförsök hela gårdagen”, skrev hon på X.
Så fungerade attacken
Angriparna utnyttjade att Metas AI-assistent kunde utföra åtgärder direkt mot ett konto utan att kontrollera vem som faktiskt frågade. Genom en VPN-tjänst förlade hackarna sin trafik till offrets region för att undvika automatiska larm, varefter de bad chattboten att lägga till en ny e-postadress på målets konto. Boten skickade verifieringskoden till den nya adressen, och när angriparen klistrade in koden i chatten fick hen en knapp för att återställa lösenordet, beskriver 404 Media.
Metas kommunikationschef Andy Stone bekräftade att felet är åtgärdat. ”Problemet är löst och vi säkrar de drabbade kontona”, uppger han.
Den AI-drivna supportassistenten lanserades brett först i december 2025, då Meta presenterade ett nytt centralt stödnav som kan ”lösa kontoproblem från början till slut”, inklusive att återställa lösenord och ändra profilinformation. Det är precis dessa funktioner som angriparna utnyttjade.
Så kontrollerar du din egen inloggningshistorik
Instagram och Facebook används av miljontals svenskar, och händelsen är en bra anledning att gå igenom säkerhetsinställningarna – något de flesta sällan gör.
I Instagram-appen hittar du översikten under Inställningar och aktivitet, vidare till Lösenord och säkerhet, och därefter Inloggningsaktivitet. Där visas en karta med plats, enhetsmodell och senaste aktivitet för varje aktiv session. Om du ser en enhet eller en stad du inte känner igen, välj alternativet att logga ut sessionen och byt sedan lösenord direkt.
Slå därefter på tvåfaktorsautentisering om du inte redan har det. Det stoppar inte den nu lagade chattbot-bristen, men det är fortfarande det enklaste skyddet mot vanliga kontostölder.
Passkeys är ett starkare alternativ
Meta började rulla ut passkeys på Facebook under sommaren 2025 och har efter hand utvidgat stödet till Instagram via det gemensamma Meta-kontosystemet. Bolaget beskriver passkeys som motståndskraftiga mot gissning och stöld från skadliga webbplatser eller bedrägerilänkar, och därmed effektiva mot nätfiske och så kallade lösenordssprejattacker där angripare provar samma lösenord mot många konton.
Skillnaden mot ett vanligt lösenord är att passkeyn ligger kryptografiskt knuten till din enhet och låses upp med fingeravtryck, ansikte eller skärmkod. Det finns ingenting för en angripare att lura ut, inte ens genom en hjälpsam chattbot. För konton du verkligen inte vill förlora är det det starkaste vardagsskyddet som finns brett tillgängligt just nu.