ReportsPublishedyesterdayLast edited yesterday23 sources

איך צ'אטבוט AI 'סגן מבולבל' מסר לידי האקרים 20,000 חשבונות אינסטגרם

ביוני 2026, האקרים ניצלו באג לוגי בצ'אטבוט התמיכה מבוסס ה AI של מטא, 'High Touch Support', כדי להשתלט על 20,225 חשבונות אינסטגרם – פשוט בכך שביקשו מהבוט לקשר חשבון קורבן למייל שבשליטתם [7]. בין הקורבנות הבולטים: חשבון האינסטגרם של הבית הלבן מתקופת אובמה, רשת הקוסמטיקה ספורה, ובכיר בחיל החלל האמריקאי [5][6].

Search & fact-check with Studio Global AI Browse more Trending pages

67K0

AI chatbot security breach concept showing a digital padlock interface with a robot hand interacting with a support icon, representing the vulnerability in Meta's Instagram account — What was the security flaw in Meta's AI-powered Instagram account recovery tool disclosed in June 2026, how did attackers exploit it to hijaThe June 2026 exploit hinged on an AI chatbot with the power to change account credentials—but no ability to verify who was asking.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What was the security flaw in Meta's AI-powered Instagram account recovery tool disclosed in June 2026, how did attackers exploit it to hija. Article summary: **Vulnerable system:** Meta's "High Touch Support" (HTS), an AI-assisted account recovery chatbot deployed in March 2026 to help users regain access to locked Instagram accounts. It was designed to handle workflows like . Topic tags: deepresearch, general web, education. Reference image context from search candidates: Reference image 1: visual subject "Meta blames a bug on an exploit that allowed hackers to ask its AI support bot to link a victim’s account with their own email. Hackers likely took over 20,225 Instagram accounts u" source context "Hackers likely hijacked over 20,000 Instagram accounts with Meta’s AI chatbot | The Verge" Reference image 2: visual
openai.com

בתזכורת חריפה לכך שפריסת סוכני AI עם הרשאות נרחבות ללא בדיקות זהות חזקות היא מתכון לאסון, מטא אישרה ביוני 2026 שבאג לוגי בצ'אטבוט התמיכה מבוסס ה-AI שלה איפשר לתוקפים להשתלט על 20,225 חשבונות אינסטגרם. המתקפה לא דרשה נוזקות, פישינג או פיצוח סיסמאות. זו הייתה מתקפת הנדסה חברתית נגד בינה מלאכותית. התוקפים פשוט פתחו צ'אט תמיכה וביקשו מהבוט לקשר חשבון של קורבן לכתובת אימייל חדשה – והבוט ציית, ושלח קישור לאיפוס סיסמה מבלי לוודא שהמבקש הוא הבעלים האמיתי של החשבון .

הבאג: AI 'סגן מבולבל' (Confused Deputy) עם יותר מדי כוח

המערכת הפגיעה הייתה High Touch Support) HTS) של מטא, כלי לשחזור חשבונות בסיוע AI, שנועד לעזור למשתמשים לחזור ולקבל גישה לחשבונות אינסטגרם נעולים. HTS, שהושק במרץ 2026, טיפל בתהליכים רגישים כמו שיוך מחדש של כתובות אימייל והפעלת איפוסי סיסמה ללא התערבות אנושית .

הסיבה המרכזית הייתה באג לוגי ב"נתיב קוד נפרד" של HTS. לדברי עורכת הדין המשנה של מטא, אמבר האנה, הכלי "עבד כראוי ופעל כמתוכנן" למשימות הליבה שלו, אך במהלך איפוסי סיסמאות, המערכת לא הצליחה לוודא שכתובת האימייל שסופקה על ידי המבקש תואמת לכתובת האימייל הרשומה בחשבון האינסטגרם. היא פשוט שלחה את קישור האיפוס לכל כתובת שסופקה .

חוקרי אבטחת מידע זיהו זאת מיד כבעיה קלאסית של 'סגן מבולבל' (confused deputy): סוכן ה-AI קיבל סמכות לבצע פעולות חשבון רגישות דרך ממשקי API, אך חסרה לו הלוגיקה הבסיסית לאשר את זהותו של האדם שנותן את הפקודה . כפי שניסח זאת ניתוח אחד, ל-AI "ניתנה הרשאה לבצע שינויים בחשבון מבלי שלימדו אותו כיצד לאשר את זהות המבקש" .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

איך צ'אטבוט AI 'סגן מבולבל' מסר לידי האקרים 20,000 חשבונות אינסטגרם

הבאג: AI 'סגן מבולבל' (Confused Deputy) עם יותר מדי כוח

Search, cite, and publish your own answer

People also ask

What is the short answer to "איך צ'אטבוט AI 'סגן מבולבל' מסר לידי האקרים 20,000 חשבונות אינסטגרם"?

What are the key points to validate first?

What should I do next in practice?

Sources

Comments

המתקפה: השתלטות על חשבון בשישה צעדים

הנזקים: שמות משתמש נחשקים ('OG'), מותגים וחשבונות ממשלתיים

תגובת מטא: טלאי חירום ותיקון שדורש תיקון

ההגנה שחסמה כל מתקפה: אימות רב-שלבי (MFA)

התמונה הגדולה: AI כשירות, AI כסיכון

שאלות פתוחות