The newest instagram exploit is the goofiest i’ve seen
Вчера у целой волны аккаунтов Instagram, включая очень заметные вроде аккаунта Белого дома при Обаме, якобы произошёл взлом. И, честно, это один из самых нелепых и «почти слишком глупых, чтобы быть правдой» кейсов, которые когда-либо всплывали в продакшене.
Как выглядит перехват
Для старта атакующему нужен только ваш username. Дальше он заходит через VPN или proxy, выбирая точку ближе к вашему городу, чтобы защитные алгоритмы не заподозрили ничего странного. Такой IP-след можно собрать из публичного профиля, раздела «About» и множества других открытых источников.
Когда запрос выглядит достаточно «местным», злоумышленник убеждает support AI, что аккаунт взломан, и просит отправить коды подтверждения на любой почтовый ящик, который он контролирует.
На этом этапе всё и происходит: система не проверяет, использовался ли этот email раньше владельцем аккаунта. После отправки кода на чужую почту атакующий тут же пересылает его обратно, проходит верификацию и получает ссылку на сброс пароля. В итоге аккаунт оказывается у него.
Почему 2fa не спасает
Поскольку этот сценарий воспринимается как высокоприоритетное восстановление «настоящим» владельцем, исходная двухфакторная авторизация обходится целиком. Активные сессии сбрасываются, пароль меняется, а уведомления на почту, по SMS или push не приходят. Реальному владельцу остаётся только спорить с чатом поддержки, надеясь вернуть доступ раньше, чем систему снова используют против него.
Если аккаунт попал в группу, где активен AI-помощник, отключить такой режим тоже может быть невозможно.
Чёрный рынок и шум вокруг
В Telegram-каналах быстро появились услуги по захвату аккаунтов за крупные суммы и с очень короткими сроками исполнения. Это неудивительно: короткие никнеймы стоят сотни тысяч, а иногда и миллионы долларов. Такие профили уже использовали и для перепродажи, и для пропаганды.
Судя по всему, Meta уже закрыла дыру, а сами группы притихли. Но сам факт того, что огромная компания могла допустить сценарий, где support AI меняет привязанный email практически по просьбе, звучит одновременно пугающе и абсурдно.
Поток захвата ─────────────────── username ──▶ VPN/proxy ──▶ support AI ──▶ code to attacker ──▶ reset link ──▶ takeover
Что делать владельцам аккаунтов
Проверьте привязанный email прямо сейчас. Для защиты лучше использовать аппаратные ключи вроде YubiKey вместо SMS- или email-2FA. Если в настройках безопасности появится опция отключить AI-driven recovery, имеет смысл сделать это сразу.
Что важнее для защиты ─────────────────── ┌─────────────────┐ │ Аппаратный ключ │═▶ лучший вариант ├─────────────────┤ │ Приложение 2FA │═▶ лучше, чем SMS ├─────────────────┤ │ SMS / Email │═▶ слабее и уязвимее └─────────────────┘
Выводы
Проблема оказалась не в сложной технике, а в слишком доверчивом recovery-процессе. Если служба поддержки может сбросить защиту без достаточных проверок, 2FA перестаёт быть надёжным барьером. Аппаратные ключи и внимательная проверка recovery-настроек здесь гораздо важнее привычных SMS-кодов.
Ссылки
- The newest Instagram «exploit» is the goofiest I’ve seen — исходный разбор инцидента
Дмитрий Полухин — продуктовый дизайнер. Пишу про разработку, AI и дизайн интерфейсов. Обо мне, контакты и профили.