기술 설명
업데이트: Meta는 2026년 6월 6-7일경 Maine 법무장관에게 정식 데이터 침해 통지를 제출했으며, AI 기반 High Touch Support (HTS) Instagram 계정 복구 챗봇이 2026년 4월 17일부터 5월 31일 사이에 20,225개 계정을 손상시키는 데 악용되었음을 확인했습니다. 별도의 코드 경로의 버그로 인해 비밀번호 재설정을 요청한 사람이 제공한 이메일 주소가 대상 계정과 이미 연결된 이메일 주소와 일치하는지 확인하지 못했습니다. 공격자들은 단순히 Meta의 챗봇에 자신의 이메일을 모든 계정에 연결해달라고 요청했고, 유효한 재설정 링크를 받은 후 2FA 없이 계정을 탈취했습니다. 피해 계정에는 Obama White House, Sephora, US Space Force 직원의 고위험 계정이 포함됩니다.
공격 경로
AI 기반 지원 챗봇의 소셜 엔지니어링: 공격자가 공격자 제어 이메일 주소를 제공하며 비밀번호 재설정 요청을 제출하고, HTS 도구가 이메일 소유권 확인 단계를 건너뛴 후 유효한 재설정 링크를 공격자의 주소로 전송합니다. 기술적 악용이나 자격증명이 필요하지 않으며, 챗봇에 대한 자연어 요청만으로 충분합니다.
영향받는 시스템
(a) HTS AI 지원 계정 복구 워크플로우를 사용하고 (b) 이중 인증이 활성화되지 않은 Meta Instagram 계정. 약 20,225개 계정이 영향을 받은 것으로 확인되었습니다.
완화 방안
Meta는 HTS를 비활성화하고, 해당 기간 동안 생성된 모든 재설정 링크를 무효화했으며, 영향을 받은 계정을 필수 보안 체크포인트에 등록시키고 비밀번호 재설정을 강제했습니다. 사용자는 다음을 수행해야 합니다: (1) 모든 Meta 계정에서 즉시 2FA를 활성화; (2) 4월 17-5월 31 기간의 계정 활동 로그 검토; (3) 연결된 모든 타사 앱 감시. Meta AI 통합을 사용하는 엔터프라이즈는 재활성화 전에 AI 지원 계정 또는 접근 플로우의 인증 확인을 확인해야 합니다.