Penjelasan teknis
Update: Meta mengajukan notifikasi pelanggaran data resmi kepada Attorney General Maine pada sekitar 6–7 Juni, mengonfirmasi bahwa chatbot pemulihan akun Instagram High Touch Support (HTS) bertenaga AI-nya dieksploitasi untuk mengompromikan 20.225 akun antara 17 April dan 31 Mei 2026. Bug dalam alur kode terpisah gagal memverifikasi bahwa alamat email yang disediakan oleh pemohon penyetel ulang sandi cocok dengan email yang sudah terkait dengan akun target. Penyerang cukup meminta chatbot Meta untuk menautkan email mereka ke akun apa pun, menerima tautan penyetel ulang yang valid, dan mengambil alih akun tanpa 2FA. Kelasnya mencakup akun profil tinggi milik Obama White House, Sephora, dan personel US Space Force.
Vektor serangan
Rekayasa sosial dari chatbot dukungan bertenaga AI: penyerang mengirimkan permintaan penyetel ulang sandi yang menyediakan alamat email yang dikendalikan penyerang; alat HTS melewati langkah verifikasi kepemilikan email dan mengirimkan tautan penyetel ulang yang valid ke alamat penyerang. Tidak ada eksploitasi teknis atau kredensial yang diperlukan — hanya permintaan bahasa alami kepada chatbot.
Sistem yang terdampak
Akun Instagram Meta yang (a) menggunakan alur pemulihan akun berbantu AI HTS dan (b) tidak memiliki autentikasi dua faktor yang diaktifkan. Sekitar 20.225 akun dikonfirmasi terpengaruh.
Mitigasi
Meta telah menonaktifkan HTS, membatalkan semua tautan penyetel ulang yang dihasilkan selama periode tersebut, mendaftarkan akun yang terpengaruh dalam pos pemeriksaan keamanan wajib, dan memaksa penyetel ulang sandi. Pengguna harus: (1) mengaktifkan 2FA di semua akun Meta segera; (2) meninjau log aktivitas akun untuk jendela 17 April–31 Mei; (3) mengaudit aplikasi pihak ketiga tertaut apa pun. Perusahaan yang menggunakan integrasi AI Meta harus memverifikasi pemeriksaan autentikasi dalam alur akun atau akses berbantu AI apa pun sebelum mengaktifkannya kembali.