Najgłośniejsze włamanie ostatnich dni nie wymagało ani jednego exploita, ani złamania hasła, ani nawet phishingu. Hakerzy przejęli ponad 20 tysięcy kont na Instagramie, bo system obsługi klienta oparty na sztucznej inteligencji po prostu im na to pozwolił. Wystarczyło poprosić. Meta ujawniła, że luka w jej narzędziu do odzyskiwania kont — High Touch Support (HTS) — umożliwiła nieuprawnionym osobom resetowanie haseł cudzych profili. Firma wykryła problem 31 maja 2026 roku, ale pierwszy atak wykorzystujący tę dziurę miał miejsce już 17 kwietnia. Łącznie skradziono 20 225 kont, w tym profil powiązany z Białym Domem z czasów administracji Obamy oraz konto wysokiego rangą podoficera amerykańskich Sił Kosmicznych.
Na czym polegała luka
High Touch Support to wspomagany przez AI system, który ma pomagać użytkownikom odzyskać dostęp do zablokowanych kont. Problem leżał w jednej, pozornie drobnej ścieżce kodu: system nie sprawdzał, czy adres e-mail podany we wniosku o reset rzeczywiście należy do danego konta na Instagramie.
W praktyce wyglądało to tak: atakujący wskazywał konto ofiary, a następnie podawał swój własny, obcy adres e-mail. Zamiast odrzucić takie żądanie — bo przecież ten adres nie był nigdy powiązany z kontem — system grzecznie wysyłał link do resetu hasła właśnie na adres przestępcy. Kliknięcie w link, ustawienie nowego hasła i konto zmieniało właściciela. Cała „magia” sprowadzała się do tego, że narzędzie zaprojektowane, by ułatwiać życie zagubionym użytkownikom, nie zadawało jednego prostego pytania kontrolnego.
Dlaczego to taki niebezpieczny rodzaj ataku
Większość poradników o cyberbezpieczeństwie skupia się na silnych hasłach i czujności wobec podejrzanych linków. Tymczasem tutaj nie zawiniło ani słabe hasło ofiary, ani jej nieostrożność. Konto można było stracić, nie robiąc absolutnie nic — bo błąd tkwił po stronie dostawcy usługi. To pokazuje rosnący problem: kanały odzyskiwania konta i obsługi klienta stają się dziś najsłabszym ogniwem bezpieczeństwa.
Doszedł do tego nowy element — automatyzacja oparta na AI. Systemy wsparcia napędzane sztuczną inteligencją mają działać szybko i bezobsługowo, ale gdy zabraknie w nich rygorystycznej weryfikacji, ta szybkość obraca się przeciwko użytkownikom. Maszyna nie nabiera podejrzeń tak jak doświadczony konsultant; jeśli reguła pozwala wysłać link, to go wysyła. Atakujący nie musieli niczego „hakować” w klasycznym sensie — wykorzystali logikę samego systemu.
Jak zareagowała Meta
Po wykryciu incydentu Meta wyłączyła system HTS oraz unieważniła wszystkie wygenerowane przez niego linki do resetu haseł, by zablokować kolejne próby w ramach tej samej kampanii. Wszystkie potencjalnie skradzione konta przeszły przez obowiązkowy punkt kontroli bezpieczeństwa, a dotkniętych użytkowników poproszono o ponowne ustawienie hasła i przejście uwierzytelnienia od nowa. To rozsądna reakcja, ale warto pamiętać, że między pierwszym atakiem (17 kwietnia) a wykryciem luki (31 maja) minęło ponad sześć tygodni, w trakcie których przestępcy mieli wolną rękę.
Jak chronić swoje konta
Choć tej konkretnej luki nie dało się powstrzymać po stronie użytkownika, istnieją nawyki, które realnie utrudniają przejęcie konta nawet przy takich atakach.
Po pierwsze, włącz dwuskładnikowe uwierzytelnianie (2FA), najlepiej w formie aplikacji uwierzytelniającej lub klucza sprzętowego, a nie SMS-a. W wielu scenariuszach drugi składnik blokuje przejęcie konta, nawet jeśli ktoś pozna lub zresetuje hasło.
Po drugie, regularnie sprawdzaj w ustawieniach Instagrama listę aktywnych sesji i zalogowanych urządzeń — jeśli zobaczysz nieznane logowanie, natychmiast je wyrzuć i zmień hasło.
Po trzecie, ustaw i zweryfikuj adres e-mail oraz numer telefonu przypisany do konta i włącz powiadomienia o logowaniach z nowych urządzeń. Dzięki temu o próbie przejęcia dowiesz się od razu, a nie po fakcie.
Po czwarte, jeśli prowadzisz ważne konto firmowe lub publiczne, rozważ powiązanie go z menedżerem biznesowym Meta i ograniczenie liczby osób z dostępem. Im mniej furtek, tym mniejsza powierzchnia ataku.
Podsumowanie
Sprawa Instagrama to przestroga na nowe czasy. Najpoważniejsze włamania nie zawsze są dziełem genialnych hakerów łamiących szyfry — czasem wystarczy uprzejmie poprosić źle zaprojektowany system o coś, czego nie powinien zrobić. Wraz z lawinowym wdrażaniem AI w obsłudze klienta takich „logicznych” luk będzie przybywać, bo automat egzekwuje dokładnie te reguły, które mu zaprogramowano — ani mniej, ani więcej. Dla zwykłego użytkownika wniosek jest prosty: nie da się kontrolować błędów dostawcy, ale można zbudować wokół konta tyle warstw zabezpieczeń, że przejęcie go stanie się znacznie trudniejsze. Włączone 2FA i czujne oko na aktywne sesje to dziś absolutne minimum.