Поделиться
Хакеры массово взломали аккаунты пользователей Instagram*, зная только их никнеймы
Хакеры получили доступ к большому количеству аккаунтов в Instagram* (принадлежит организации Meta*, которая признана экстремистской на территории России), не применяя сложных алгоритмов и специальных знаний. Злоумышлении смогли получить доступ к адресам электронной почты и номерам телефонов пользователей, используя только их никнеймы пользователей. Для взлома хакеры использовали VPN для имитации геолокации жертвы и чат-бота в техподдержке компании-разработчика ИТ-сервиса.
Взлом аккаунтов онлайн-сервиса
Хакеры взломали множество аккаунтов в Instagram* (принадлежит организации Meta, которая признана экстремистской на территории России) с помощью простого запроса чат-боту Meta** (компания признана экстремистской организацией на территории России), пишет Metro. Среди пострадавших была исследовательница в сфере информационной безопасности (ИБ) и бывшая сотрудница Meta Джейн Манчун Вонг (Jane Manchun Wong).
Хакеры воспользовались ИТ-уязвимостью в механизме восстановления аккаунта Instagram, которая позволяла запросить сброс пароля, зная лишь логин пользователя. В ответ на запрос онлайн-сервис направлял на привязанный адрес электронной почты или номер телефона ссылку для восстановления доступа. Хакеры перехватывали эти сообщения, что давало им возможность получить полный контроль над аккаунтами и доступ к личным данным пользователей.
Instagram популярная социальная сеть и ИТ-платформа для обмена фотографиями и короткими видео, пользователи могут создавать аккаунты, выкладывать визуальный контент, писать описания, вести прямые трансляции, использовать истории и другие форматы. Кроме развлекательного, Instagram выполняет функции для бизнеса, рекламы, личного бренда и коммуникации между людьми.
Кибератаки по никнеймам
Исследователи по кибербезопаснсоти утверждают, что хакеры атаковали много аккаунтов с коротким юзернеймом (например @hey and @jowo), которые особо ценятся у перекупщиков. Среди пострадавших была исследовательница в сфере ИБ и бывшая сотрудница Meta Джейн Манчун Вонг. 31 мая 2026 г. был взломан и страница @obamawhitehouse, это официальная страница Белого дома эпохи правления президента США Барака Обамы (Barack Obama), которая не обновлялась с 2017 г.
В результате ИТ-уязвимости пострадали владельцы как обычных, так и верифицированных аккаунтов. Среди жертв оказались публичные личности, блогеры и рядовые пользователи, которые не могли предположить, что их данные окажутся под угрозой лишь из-за знания никнейма.
«Это крайне серьезный ИТ-инцидент, поскольку злоумышленникам для проведения кибератаки не требуется знать пароль или подбирать его. Достаточно одного лишь имени пользователя, чтобы инициировать процесс, который может привести к компрометации аккаунта и утечке конфиденциальных данных», — пояснил Metro эксперт по кибербезопасности.
Признание взлома
Meta, материнская компания Instagram, уже подтвердила наличие проблемы и заявила, что работает над ее устранением. В корпорации порекомендовали пользователям включить двухфакторную аутентификацию и быть внимательными к подозрительным письмам и сообщениям.
1 июня 2026 г. представитель Meta Энди Стоун (Andy Stone) написал в одном из тредов, что ИТ-уязвимость была исправлена. Но воровство чужих аккаунтов после этого не остановилось.
Исследователи предполагают, что Meta явно запретила использование конкретных фраз, но оставила ассистенту с технологией искусственного интеллекта (ИИ) все полномочия. Поэтому взломщики теперь действуют хитрее, используя весь известный арсенал кибератак против больших языковых моделей.
8 июня 2026 г. Meta скрыла кнопку чат-бота, но оставила открытым его аpplication programming interface (API), то есть отсекла лишь обычных пользователей, которые могли попытаться использовать этот метод из праздного любопытства.
*Instagram (принадлежит организации Meta, которая признана экстремистской на территории России).
**Meta (компания признана экстремистской организацией на территории России).
Короткая ссылка
