Mimmo Wiestål Fischetti
Metas AI-drivna supportverktyg skulle göra det enklare för användare att återfå åtkomst till sina konton.
I stället upptäckte säkerhetsforskare ett allvarligt säkerhetshål som enligt flera rapporter gjorde det möjligt för hackare att ta över Instagramkonton, även när tvåfaktorsautentisering var aktiverad.
Meta uppger nu att sårbarheten har åtgärdats och att företaget arbetar med att skydda de konton som kan ha drabbats.
Säkerhetsforskare slog larm
Den aktuella AI-assistenten presenterades av Meta i december som ett snabbare och enklare sätt att hjälpa användare som blivit utelåsta från Facebook eller Instagram.
Men enligt Engadget upptäckte säkerhetsforskare att verktyget kunde manipuleras.
Under helgen spreds instruktioner, skärmbilder och videoklipp på X och Telegram som visade hur angripare kunde utnyttja systemet.
Metoden ska ha varit förvånansvärt enkel.
Enligt uppgifterna kunde hackare be AI-chatboten att ändra e-postadressen kopplad till ett konto och därefter begära en lösenordsåterställning.
På så sätt kunde de få kontroll över kontot utan att behöva passera vanliga säkerhetslager.
404 Media rapporterar att diskussioner om sårbarheten har förekommit på Telegram sedan mars.
Meta har täppt till luckan
När Engadget kontaktade Meta hänvisade företaget till ett inlägg på X från kommunikationschefen Andy Stone.
”“This issue has been resolved and we are securing impacted accounts,”” skrev Stone.
Exakt hur många konton som påverkades är fortfarande oklart.
Enligt Neowin verkar sårbarheten ha varit kopplad till hur AI-systemet verifierade användare.
Verktyget ska delvis ha förlitat sig på geografisk plats för att avgöra om en person var legitim.
Hackare kunde enligt rapporterna använda VPN-tjänster för att efterlikna offrets plats och därmed lura systemet.
Tidpunkten sammanfaller också med flera uppmärksammade kontokapningar.
Bland annat drabbades ett tidigare konto kopplat till Obamas Vita hus, som plötsligt publicerade AI-genererat innehåll efter flera års inaktivitet.
Enligt TMZ bekräftade Meta att kontot hade hackats men lämnade inga detaljer om tillvägagångssättet.
Även Sephora och en högt uppsatt tjänsteman inom Space Force nämns av 404 Media som möjliga offer.
Händelsen väcker nya frågor om hur AI används i känsliga supportprocesser och vilka säkerhetskontroller som krävs när automatiserade system får tillgång till användarkonton.
