בדצמבר האחרון הציגה מטא עוזר תמיכה חדש המבוסס על בינה מלאכותית, שנועד להפוך את תהליך שחזור החשבונות בפייסבוק ובאינסטגרם למהיר ופשוט יותר. אלא שכעת מתברר כי אותו כלי, שנועד לסייע למשתמשים שננעלו מחוץ לחשבונותיהם, עלול היה להפוך גם לכלי בידי האקרים.
לפי דיווחים של חוקרי אבטחה, צ'אטבוט התמיכה של מטא נוצל כדי להשתלט על חשבונות אינסטגרם, כולל כאלה שהיו מוגנים באמצעות אימות דו-שלבי. במהלך סוף השבוע החלו להופיע ברשת X דיווחים רבים על הפרצה, לצד צילומי מסך וסרטונים שהופצו בערוצי טלגרם והציגו לכאורה את שיטת הפעולה בזמן אמת.
על פי המידע שפורסם, התוקפים היו יכולים פשוט לבקש מהצ'אטבוט לשנות את כתובת הדוא"ל המשויכת לחשבון יעד מסוים, ולאחר מכן להפעיל הליך איפוס סיסמה. אם אכן כך פעל המנגנון, מדובר בכשל אבטחה משמעותי במיוחד עבור מערכת שנועדה לספק שכבת הגנה וסיוע למשתמשים.
מטא אישרה מאז כי הבעיה טופלה, אך לא מסרה כמה חשבונות נפגעו לפני שהתיקון הוטמע. בתגובה לפניית כלי תקשורת, החברה הפנתה לפרסום של אנדי סטון, סגן נשיא לתקשורת במטא, שכתב ברשת X כי "הבעיה נפתרה ואנו מאבטחים את החשבונות שהושפעו".
למרות שמטא לא סיפקה הסבר מלא לאופן שבו נוצרה הפרצה, הדיווחים מצביעים על כך שהתוקפים גילו שמערכת התמיכה הסתמכה בין היתר על המיקום הפיזי של בעל החשבון לצורך אימות. לפי אתר Neowin, ההליך דרש מההאקרים להשתמש ב-VPN כדי להציג מיקום התואם לזה של בעל החשבון שאותו ניסו לתקוף. הדבר מתחבר להצהרות קודמות של מטא, שלפיהן מערכותיה יודעות לזהות טוב יותר מכשירים מוכרים ומיקומים שבהם המשתמש נוהג להתחבר.
היקף הנזק עדיין אינו ברור, אך לפי דיווח של 404 Media, דיונים על החולשה התנהלו בקהילות טלגרם כבר מאז חודש מרץ. במקביל, התזמון של החשיפה מעורר שאלות לגבי שורת פריצות לחשבונות בעלי פרופיל גבוה בתקופה האחרונה. בין היתר דווח על פריצה לחשבון "Obama White House", שלא היה פעיל מאז 2017, ופרסם לפתע תמונה שנוצרה באמצעות AI. מטא אישרה את הפריצה אך לא מסרה פרטים על אופן הביצוע או זהות הגורמים המעורבים.
לפי הדיווחים, גם חשבונות נוספים, בהם רשת הקוסמטיקה ספורה ובכיר בחיל החלל האמריקאי, עשויים היו להיפגע מהפרצה. כעת, לאחר שהתיקון כבר הוטמע, נותרה השאלה כמה זמן הייתה החולשה קיימת בפועל וכמה חשבונות הספיקו התוקפים לנצל לפני שנחסמה.