A Meta közlése szerint összesen 20 225 Instagram-fiókot törtek fel egy biztonsági rés kihasználásával, amely a vállalat AI-alapú ügyfélszolgálati rendszerében, az úgynevezett High Touch Support (HTS) eszközben volt jelen. A támadók a jelszó-visszaállítási folyamat gyenge pontját használták ki, így hozzáférést szereztek olyan fiókokhoz is, amelyeknél nem volt bekapcsolva a kétlépcsős azonosítás (2FA) – írja a Bleeping Computer.
A probléma lényege az volt, hogy a rendszer nem ellenőrizte megfelelően, hogy a jelszó-visszaállítást kérő e-mail-cím valóban kapcsolódik-e az adott Instagram-fiókhoz. Ennek következtében a támadók saját e-mail-címükre kérhettek visszaállítási linket, majd egyszerűen átvehették az irányítást a fiókok felett.
A Meta szerint a sérülékenységet május 31-én azonosították, de a támadások már április közepén megkezdődhettek. A cég egyelőre nem tudja pontosan, milyen adatok kerülhettek illetéktelen kezekbe, de a potenciálisan érintett információk között szerepelhetnek elérhetőségek, születési dátumok, üzenetek, posztok és egyéb profiladatok is.
A vállalat az incidens felfedezése után leállította az érintett rendszert, visszavonta az összes generált jelszó-visszaállító linket, és kötelező biztonsági ellenőrzést vezetett be az érintett fiókoknál. A felhasználókat arra kérték, hogy változtassák meg jelszavaikat, és erősítsék meg újra hozzáférésüket.
A Meta közlése szerint a hiba javítása után a rendszer újraindítása előtt megerősítik az e-mail-címek ellenőrzését, valamint átfogó vizsgálatot indítanak más fiók-helyreállítási folyamatok biztonságának felülvizsgálatára is.
Az eset újabb csapást jelent a cég adatvédelmi megítélésére: a Meta az elmúlt években több százmillió eurós bírságokat kapott különböző adatkezelési és biztonsági hiányosságok miatt.
Nyitókép: Instagram logó (Fotó: Alexander Shatov / Unsplash)

