Hakeri su iskoristili bizaran propust i prevarili zvaničnog Meta AI četbota za podršku da im sam generiše "Reset Password" kodove i omogući preuzimanje kontrole nad brojnim Instagram nalozima.
Instagram je riješio ozbiljan sigurnosni propust koji je hakerima omogućavao da preuzmu kontrolu nad velikim brojem korisničkih naloga. Napad se oslanjao na nesvakidašnju metodu - hakeri su uspjeli da prevare Meta-inog zvaničnog AI četbota za podršku i natjeraju ga da im sam odobri pristup tuđim profilima.
Tokom vikenda, veći broj korisnika na platformama Reddit i X počeo je da upozorava na masovno hakovanje. Među kompromitovanim nalozima našao se i zvanični Instagram profil Bijele kuće iz ere Baraka Obame, koji je bio neaktivan još od 2017. godine, kao i profil glavnog narednika Svemirskih snaga SAD, Džona Bentivenje.
Poznata istraživačica bezbjednosti, Džejn Vong, potvrdila je da je i njen nalog bio meta ovog napada. Ona je navela da joj je lozinka promijenjena bez njenog znanja, nakon što je ceo dan dobijala zahtjeve za njen reset.
Na mreži X ubrzo se pojavio i video snimak koji je korak po korak prikazivao cijeli proces hakovanja. Haker je najpre koristio VPN kako bi lažirao lokaciju žrtve i na taj način izbjegao aktiviranje Instagram-ovih automatskih sistema zaštite. Nakon toga, otvorio bi čet sa Meta-inim AI asistentom za podršku i od bota zatražio da na nalog žrtve doda potpuno novu imejl adresu.
Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer)June 1, 2026
Na snimku se jasno vidi kako četbot šalje verifikacioni kod na novu adresu koju je haker obezbijedio. Kada bi haker taj kod prepisao i poslao nazad botu, vještačka inteligencija bi mu generisala dugme "Reset Password". Hakeru je potom preostalo samo da unese novu lozinku i potpuno izbaci pravog vlasnika naloga.
Poznati tehnološki portal TechCrunch uspio je da potvrdi autentičnost ovog snimka i lično se uvjeri da je verifikacioni kod nesmetano stizao u hakersko sanduče koje je bilo prikazano u videu.
Najveći apsurd ovog napada leži u činjenici da napadač ni u jednom trenutku nije morao da hakuje ili kompromituje originalnu imejl adresu koja je bila povezana sa Instagram nalogom žrtve. Zvanični AI asistent je sve odradio sam.
Portparol Instagram-a, Endi Stoun, oglasio se u ponedjeljak i potvrdio da je propust uočen i hitno ispravljen.