기술 설명
업데이트: Meta는 2026년 6월 6~7일경 메인 주 검사장에 공식 데이터 유출 통지를 제출했으며, AI 기반 High Touch Support (HTS) Instagram 계정 복구 챗봇이 2026년 4월 17일~5월 31일 사이에 20,225개 계정을 손상시키는 데 악용되었음을 확인했습니다. 별도의 코드 경로의 버그로 인해 비밀번호 재설정 요청자가 제공한 이메일 주소가 대상 계정과 이미 연결된 이메일 주소와 일치하는지 검증하지 못했습니다. 공격자는 단순히 Meta의 챗봇에 자신의 이메일을 임의의 계정에 연결하도록 요청한 후 유효한 재설정 링크를 받아 2FA 없이 계정을 탈취했습니다. 이 범주에는 Obama White House, Sephora 및 US Space Force 인원에 속한 유명 계정이 포함됩니다.
공격 경로
AI 기반 지원 챗봇의 소셜 엔지니어링: 공격자가 공격자 제어 이메일 주소를 제공하여 비밀번호 재설정 요청을 제출하면, HTS 도구는 이메일 소유권 검증 단계를 건너뛰고 유효한 재설정 링크를 공격자의 주소로 전송합니다. 기술적 악용이나 자격증명이 필요 없으며, 챗봇에 대한 자연어 요청만으로 충분합니다.
영향받는 시스템
(a) HTS AI 지원 계정 복구 워크플로우를 사용했으며 (b) 2단계 인증이 활성화되지 않은 Meta Instagram 계정. 약 20,225개 계정이 영향을 받은 것으로 확인되었습니다.
완화 방안
Meta는 HTS를 비활성화하고, 해당 기간 동안 생성된 모든 재설정 링크를 무효화하고, 영향을 받은 계정을 필수 보안 검사점에 등록하고, 강제로 비밀번호를 재설정했습니다. 사용자는 다음을 수행해야 합니다: (1) 모든 Meta 계정에서 즉시 2FA 활성화; (2) 4월 17일~5월 31일 기간의 계정 활동 로그 검토; (3) 연결된 타사 앱 감사. Meta AI 통합을 사용하는 기업은 다시 활성화하기 전에 AI 지원 계정 또는 액세스 흐름의 인증 확인을 검증해야 합니다.