Meta證實有2萬個Instagram帳號因Meta AI漏洞被盜，時間長達1.5個月

這項漏洞上星期遭到駭客濫用。駭客發送訊息給Meta AI支援助理，要求重設密碼，並要求Meta AI將重設連結寄到駭客自己的信箱，或直接顯示在對話中，藉此重設密碼、盜走合法用戶的IG帳號。

根據Meta向美國緬因州檢察長辦公室的通報文件，該漏洞影響時間從2026年4月17日到5月31號止。受害者人數為20,225人。

漏洞出在Meta AI的IG帳號回覆系統，名為High Touch Support（HTS），該服務目的在提供給綁定帳號的電子郵件信箱無法使用、或帳號被鎖住的用戶，讓他們可以請求AI助理將重設密碼連結或驗證碼寄到新信箱。Meta解釋，漏洞出在Meta AI程式碼路徑，使系統未驗證請求重設密碼的信箱和帳號持有人的關聯，使攻擊者得以取得密碼重設連結。如果原IG持有人沒有設定2FA，就會被攻擊者重設密碼並存取帳號。

Meta說明，該公司在5月31日發現此事後，立即將該AI支援工具關閉，並將所有密碼重設連結註銷。他們也要將高風險帳號列入強制安全檢查，協助受影響用戶重新取回帳號。Meta說，將強化IG回復系統的驗證檢查之後再重新推出該工具。

Meta在給用戶的通知中指出，沒有帳號遭存取的跡象。但一旦帳號被第三方人士存取，就能取得用戶個資及所有訊息，包括電子郵件信箱、電話號碼、貼文、私訊、個人檔案資訊、聯絡人、連結的帳號及服務等。

SecurityWeek報導，受害的IG帳號包含歐巴馬的白宮IG帳號、美妝連鎖Sephora及美國太空軍總軍士長John Bentivegna的IG帳號。