IRCNF
Security

La herramienta de recuperación de cuentas con IA de Meta entregó 20,000 cuentas de Instagram a hackers.

BleepingComputer
Compartir:
La herramienta de recuperación de cuentas con IA de Meta entregó 20,000 cuentas de Instagram a hackers.

Lo que pasó

Meta ha confirmado que aproximadamente 20,225 cuentas de Instagram fueron comprometidas entre el 17 de abril y el 31 de mayo de 2026, cuando atacantes explotaron una vulnerabilidad crítica en su sistema de recuperación de cuentas impulsado por IA. La herramienta afectada, llamada High Touch Support (HTS), está diseñada para ayudar a usuarios que han perdido acceso a sus cuentas, pero un fallo lógico la convirtió en un vector de apropiación de cuentas.

La vulnerabilidad fue descubierta internamente el 31 de mayo. Desde entonces, Meta ha desactivado HTS, invalidado todos los enlaces de restablecimiento de contraseña generados a través del flujo explotado, y puesto a las cuentas afectadas en un punto de control de seguridad obligatorio que requiere un restablecimiento de contraseña.

Cómo funcionó el ataque

HTS es un sistema asistido por IA que guía a los usuarios a través de la recuperación de cuentas, incluyendo la verificación de identidad mediante una dirección de correo electrónico. El fallo: la herramienta no logró confirmar que el correo proporcionado para un restablecimiento de contraseña realmente perteneciera a la cuenta objetivo. Los atacantes proporcionaron sus propias direcciones de correo en su lugar, y la herramienta procesó el restablecimiento de todos modos.

Investigadores y respondedores que observaron los ataques señalaron que algunos de los intentos de explotación más sofisticados utilizaron prompt injection — elaborando entradas que manipulaban el comportamiento de la herramienta de soporte de IA para eludir las salvaguardas diseñadas para detectar solicitudes de recuperación anómalas. Este es uno de los primeros casos confirmados de prompt injection utilizado a gran escala contra un sistema de IA en producción de una plataforma importante.

Las cuentas sin autenticación de dos factores habilitada fueron las más vulnerables: una vez que un atacante vinculaba su correo y restablecía la contraseña, tenía control total. Las cuentas de alto valor que tenían 2FA habilitado requerían pasos adicionales, aunque algunas aún fueron comprometidas mediante ingeniería social alrededor del flujo de recuperación.

Quiénes fueron afectados

La brecha afectó desproporcionadamente a cuentas con muchos seguidores. Entre las cuentas comprometidas confirmadas se encontraban las vinculadas al archivo de la Casa Blanca de Obama, la marca de belleza Sephora y el Chief Master Sergeant de la Fuerza Espacial de EE.UU., John Bentivegna. Varios nombres de usuario de Instagram de alto valor robados aparecieron posteriormente a la venta en mercados de la dark web, con valores de reventa estimados en algunos casos superiores a $1 millón.

Metasecurity-breachinstagramprompt injectionai-securityaccount-takeover

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartir:
La herramienta de recuperación de cuentas con IA de Meta entregó 20,000 cuentas de Instagram a hackers. | IRCNF - Intelligent Reliable Custom Next-gen Frameworks