近日,Meta 透露,於 Instagram 上發生的一次嚴重安全事件,已導致約 2 萬個帳户被犯罪分子盜取。問題源於一套用於協助用户恢復被封禁帳户的人工智能客服系統。由於程序存在缺陷,該工具在重置密碼時未能驗證申請郵箱是否屬於目標帳户,給予了攻擊者可趁之機。
根據 Instagram 的披露信息,這一漏洞在 2026 年 4 月中旬至 5 月底期間被持續利用。攻擊者透過相關聊天機器人申請密碼重置鏈接,系統卻未核驗所填寫的郵箱與帳號綁定信息是否一致。藉助此漏洞,攻擊者可以將他人帳户與自己的郵箱關聯,並在目標用户未啟用雙重身份驗證的情況下接管帳户。為降低被發現的風險,相關人員還通過 VPN 偽裝地理位置,使其看起來與受害者所在區域一致。
Meta 針對 Instagram 安全漏洞採取行動
Meta 表示,攻擊者獲得帳户控制權後,可能進一步接觸到帳户中的敏感信息,包括私信、出生日期、電話號碼以及私人照片。若相關帳户與該公司其他平台存在關聯,理論上也可能帶來更大範圍的安全風險。同時,一些通過漏洞獲得的短字符或較易識別的用户名,也在社交平台上的灰色交易網絡中被轉賣。
在 2026 年 5 月 31 日發現漏洞後,Meta 已停用涉事客服系統,並使此前生成的所有密碼重置鏈接失效。可能受影響的帳户目前需要完成強制安全流程,帳户持有人需重新驗證身份,並盡快修改登錄信息。Meta 稱,只有在能夠可靠驗證帳户聯繫信息後,該數字客服工具才會重新上線。
