Yli 20 000 Instagram-tiliä kaapattiin Metan tekoälyllä – edes kaksivaiheinen tunnistus ei välttämättä riittänyt
Metan tekoälypohjaisen asiakaspalvelujärjestelmän ympärille paisunut Instagram-tietoturvaskandaali osoittautui vakavaksi, kertoo esimerkiksi BleepingComputer.
Yhtiön viralliset viranomaisraportit paljastavat, että hyökkääjät onnistuivat kaappaamaan yhteensä 20 225 Instagram-käyttäjän tilin hyödyntämällä tekoälybotissa ollutta haavoittuvuutta.
Tietomurron keskiössä on Metan tekoälyavusteinen High Touch Support -työkalu, jonka on tarkoitus auttaa käyttäjiä saamaan lukitut tilinsä takaisin. Metan jättämän ilmoituksen mukaan järjestelmässä oli kooditason virhe, jonka vuoksi työkalu ei tarkistanut, täsmäsikö pyynnön tekijän antama sähköpostiosoite Instagram-tiliin liitettyyn osoitteeseen. Tekoälybotti lähetti salasanan nollauslinkkejä sokeasti hyökkääjien syöttämiin osoitteisiin, mikä avasi suoran pääsyn kymmeniintuhansiin tileihin.
Meta väittää virallisessa tiedotteessaan, että luvaton sisäänpääsy onnistui vain siinä tapauksessa, ettei tilin omistaja ollut ottanut käyttöön kaksivaiheista tunnistautumista.
Sosiaalisessa mediassa laajasti seurattu tietoturvatutkija Jane Wong kertoi aiemmin Threads-palvelussa, että hänen oma tilinsä kaapattiin saman tekoälymokan seurauksena, vaikka monivaiheinen tunnistautuminen eli MFA oli käytössä. Tapaus viittaa siihen, että Metan tekoälytyökalu saattoi prosessin aikana ohittaa tai nollata myös tilin varsinaiset turva-asetukset.
Raporttien mukaan haavoittuvuutta ehdittiin hyödyntää laajasti, sillä ensimmäiset murrot tapahtuivat jo 17. huhtikuuta 2026. Meta havaitsi ja sulki haavoittuvuuden vasta toukokuun viimeisenä päivänä.
Tänä aikana hyökkääjät saattoivat päästä käsiksi uhrin yksityisviesteihin, yhteystietoihin, syntymäaikoihin, kuvamateriaaliin sekä muihin linkitettyihin palveluihin.
Meta on sulkenut kyseisen tekoälytyökalun ja pakottanut kaikki mahdollisesti vaarantuneet tilit pakolliseen turvatarkistukseen sekä salasanojen uusimiseen. Yhtiö on myös aloittanut laajan katsauksen muiden alustojensa, kuten Facebookin, vastaaviin palautusprosesseihin uusien aukkojen varalta.
KOMMENTOI
Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.