- Posledních několik měsíců bylo velmi snadné odcizit účty na Facebooku či Instagramu
- Hackerům v tom ochotně pomáhala přímo Meta AI
- Díky ní šlo převzít kontrolu nad účty až překvapivě snadno
Umělá inteligence je v současné době prakticky všude a nejen velké technologické firmy se snaží současného trendu naplno využít a AI uživatelům vnutit takřka ve všech možných podobách. Ačkoli jsou úmysly jistě chvályhodné, v některých případech může být implementace umělé inteligence, mírně řečeno, kontraproduktivní. To se ukázalo také v případě Mety a její umělé inteligence Meta AI, která má za úkol pomáhat uživatelům v různých zákoutích sociálních sítí, jako jsou Facebook či Instagram. Nápomocnost a ochota vyřešit problém ale tentokrát nesloužila k bohulibým účelům, ale naopak pomohla zlotřilým hackerům krást účty.
Hackerům pomáhala AI přímo od Mety
Meta představila svého asistenta s umělou inteligencí v prosinci s cílem usnadnit zákazníkům přístup k nepřetržité podpoře účtů. AI lze využít kupříkladu k nahlášení podvodů, získání informací o odstranění obsahu a resetování hesel. Právě tuto poslední možnost dokázali zneužít útočníci. V jedné z dostupných ukázek hacker požádá podpůrného bota Mety o změnu e-mailové adresy propojené s cílovým účtem na Instagramu a umělá inteligence to bez otázek provede.
🚨 Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer) June 1, 2026
Podpora Mety v tomto případě neprováděla důkladné ověření identity a v některých případech se zdá, že obešla dvoufaktorové ověření. Stačilo pouze VPN připojení nastavené na lokalitu v blízkosti cílového účtu, což je poměrně triviální požadavek. Zdálo se, že Meta ověřovala vlastnictví účtu na základě polohy. „Naše systémy rozpoznávají zařízení, které obvykle používáte, a známé lokality lépe, než kdykoli předtím,“ píše se v příspěvku na blogu Mety o jejím agentovi podpory AI. V některých případech byli uživatelé požádáni o ověření své identity pomocí selfie, což ale lze s pomocí AI obejít.
Tato bezpečnostní chyba měla být k dispozici po krátkou dobu, v rámci které následně došlo k nárůstu případů převzetí účtů. Jeden bezpečnostní výzkumník uvedl, že telegramové kanály nabízející služby pro Instagram na černém trhu vydělaly spoustu peněz díky umělé inteligenci Mety. Server 404 Media uvedl, že hackeři o této chybě věděli již od března, je tedy otázkou, kolik účtů bylo tímto způsobem odcizeno. Meta tento problém o víkendu opravila a dnes viceprezident Meta pro komunikaci Andy Stone uvedl, že problém byl vyřešen.
