Meta AI Support Assistant umożliwił przejęcia kont na Instagramie. Bot zmieniał adres e-mail i otwierał drogę do resetu hasła
Firmy od miesięcy wciskają AI tam, gdzie wcześniej działały żmudne, ale przewidywalne procedury. Obsługa klienta wydawała się łatwym celem, gdyż jest tam mniej ludzi i są szybsze odpowiedzi. Problem zaczyna się wtedy, gdy chatbot przestaje być tylko gadającym FAQ i dostaje realne uprawnienia do zmian na koncie. Właśnie na tym wykoleiła się Meta. Sprawa dotyczy Instagrama, ale jej waga jest poważniejsza, bo pokazuje, jak łatwo pomylić automatyzację z bezpieczeństwem.
Meta wsadziła model językowy w środek procesu odzyskiwania kont i dała mu uprawnienia, których nie powinien dostać bez konkretnej kontroli.
![Meta AI Support Assistant umożliwił przejęcia kont na Instagramie. Bot zmieniał adres e-mail i otwierał drogę do resetu hasła [1]](/image/news/2026/06/02_meta_ai_support_assistant_umozliwil_przejecia_kont_na_instagramie_bot_zmienial_adres_e_mail_i_otwieral_droge_do_resetu_hasla_0_b.jpg)
Imię, nazwisko i PESEL. Tyle miało wystarczyć, by wejść na cudze konto w ZUS i e-Sądzie
Według relacji 404 Media, Ars Technica i KrebsOnSecurity atakujący mieli wykorzystywać Meta AI Support Assistant do podpięcia własnego adresu e-mail pod cudze konto na Instagramie, a potem uruchamiali standardowy reset hasła. W materiałach krążących po Telegramie pojawia się prosty scenariusz. Pojawia się prośba do bota o zmianę adresu, kod wysłany już na skrzynkę napastnika i przejęcie profilu. Ofiarami miały paść m.in. konto Obama White House, profil Chief Master Sergeant of the U.S. Space Force czy konta z krótkimi, drogimi nazwami jak @hey i @jowo, których łączną szarorynkową wartość szacowano nawet powyżej 1 mln dolarów. To wygląda jak support, który kompletnie stracił instynkt samozachowawczy.
![Meta AI Support Assistant umożliwił przejęcia kont na Instagramie. Bot zmieniał adres e-mail i otwierał drogę do resetu hasła [2]](/image/news/2026/06/02_meta_ai_support_assistant_umozliwil_przejecia_kont_na_instagramie_bot_zmienial_adres_e_mail_i_otwieral_droge_do_resetu_hasla_1_b.png)
Microsoft kontra Nightmare Eclipse. Publiczne zero-daye, groźba działań karnych i pytania o sens koordynowanego ujawniania luk
Historia robi się jeszcze bardziej niewygodna, gdy zestawić ją z tym, co Meta obiecywała w marcu. Firma reklamowała asystenta jako narzędzie, które daje „solutions, not just suggestions” (rozwiązania, a nie sugestie), działa całą dobę i potrafi resetować hasła czy też zmieniać ustawienia profilu. Innymi słowy, model dostał dostęp do operacji, których Google i Apple pilnują znacznie mocniej, opierając odzyskiwanie kont o pytania weryfikacyjne, recovery data, zaufane urządzenia, numery telefonu, a u Apple nawet wielodniowy okres oczekiwania.
![Meta AI Support Assistant umożliwił przejęcia kont na Instagramie. Bot zmieniał adres e-mail i otwierał drogę do resetu hasła [3]](/image/news/2026/06/02_meta_ai_support_assistant_umozliwil_przejecia_kont_na_instagramie_bot_zmienial_adres_e_mail_i_otwieral_droge_do_resetu_hasla_2_b.jpg)
Nowe obejście BitLockera w Windows 11 i Windows Server 2022/2025. Wystarczy fizyczny dostęp oraz nośnik USB
Włączenie MFA nadal robi ogromną różnicę, bo według KrebsOnSecurity atak nie działał na kontach z aktywnym dodatkowym uwierzytelnianiem. Jeśli AI dostaje prawo do zapisu w danych logowania, każda pomyłka staje się incydentem bezpieczeństwa, a nie tylko kiepską odpowiedzią bota. I właśnie o takim przesuwaniu AI z roli asystenta do roli operatora pisaliśmy już przy innych wdrożeniach automatyzacji w zadaniach wysokiego ryzyka, tyle że tutaj ktoś wyraźnie przegapił coś w testach.
Powiązane publikacje
Microsoft kontra Nightmare Eclipse. Publiczne zero-daye, groźba działań karnych i pytania o sens koordynowanego ujawniania luk
22
Strony WWW mogą podglądać aktywność dysku SSD. FROST uderza w prywatność na poziomie przeglądarki
7
Imię, nazwisko i PESEL. Tyle miało wystarczyć, by wejść na cudze konto w ZUS i e-Sądzie
22
NASK buduje Centrum Cyberbezpieczeństwa. Projekt za 310 mln zł wchodzi w etap realizacji
15
