Nedávno byla prolomena řada instagramových účtů, včetně vysoce profilovaných jako Obama White House. Způsob útoku je zarážející svou jednoduchostí.

Jak to fungovalo: Útočník potřeboval jen uživatelské jméno oběti. Přes VPN předstíral připojení z jejího města, kontaktoval AI podporu Mety s tvrzením o napadení účtu a požádal o zaslání ověřovacího kódu na svůj e-mail. Systém nijak neověřoval, zda zadaný e-mail skutečně patří k danému účtu.

2FA nepomohlo: Systém celý proces vyhodnotil jako reset účtu „skutečným“ vlastníkem a původní dvoufaktorové ověření zcela obešel. Majitel účtu pak nemohl obnovit přístup, protože jeho kontaktní údaje byly přepsány útočníkem.

Záplata: Meta chybu opravila, zdá se ale, že útok byl aktivní týdny, ne-li měsíce. Fakt, že AI podpora bez ověření změnila přihlašovací e-mail komukoliv, kdo o to slušně požádal, je děsivý.