Penjelasan teknis
Update: Meta mengajukan notifikasi pelanggaran data formal kepada Jaksa Agung Maine pada sekitar 6–7 Juni, mengonfirmasi bahwa chatbot pemulihan akun Instagram High Touch Support (HTS) bertenaga AI-nya dieksploitasi untuk mengompromikan 20.225 akun antara 17 April dan 31 Mei 2026. Bug dalam jalur kode terpisah gagal memverifikasi bahwa alamat email yang disediakan oleh pemohon pengaturan ulang sandi cocok dengan email yang sudah terkait dengan akun target. Penyerang cukup meminta chatbot Meta untuk menghubungkan email mereka ke akun apa pun, menerima tautan pengaturan ulang yang valid, dan mengambil alih akun tanpa 2FA. Kelas tersebut mencakup akun profil tinggi milik Obama White House, Sephora, dan personel US Space Force.
Vektor serangan
Rekayasa sosial dari chatbot dukungan bertenaga AI: penyerang mengirimkan permintaan pengaturan ulang sandi dengan menyediakan alamat email yang dikendalikan penyerang; alat HTS melewatkan langkah verifikasi kepemilikan email dan mengirimkan tautan pengaturan ulang yang valid ke alamat penyerang. Tidak ada eksploitasi teknis atau kredensial yang diperlukan — hanya permintaan bahasa alami kepada chatbot.
Sistem yang terdampak
Akun Instagram Meta yang (a) menggunakan alur pemulihan akun berbantu AI HTS dan (b) tidak memiliki autentikasi dua faktor yang diaktifkan. Sekitar 20.225 akun dikonfirmasi terpengaruh.
Mitigasi
Meta telah menonaktifkan HTS, membatalkan semua tautan pengaturan ulang yang dibuat selama periode tersebut, mendaftarkan akun yang terpengaruh di pos pemeriksaan keamanan wajib, dan memaksa pengaturan ulang sandi. Pengguna harus: (1) mengaktifkan 2FA di semua akun Meta segera; (2) meninjau log aktivitas akun untuk jendela 17 April–31 Mei; (3) mengaudit aplikasi pihak ketiga yang tertaut apa pun. Perusahaan yang menggunakan integrasi AI Meta harus memverifikasi pemeriksaan autentikasi dalam alur akun berbantu AI atau alur akses apa pun sebelum mengaktifkannya kembali.