【CNMO 科技消息】近日，Meta 透露，此前发生在 Instagram 上的一次严重安全事件已导致约 2 万个账户被犯罪分子盗取。问题出在一套用于协助用户恢复被封禁账户的 AI 客服系统。由于程序存在缺陷，该工具在重置密码时未验证申请邮箱是否属于目标账户，给攻击者提供了可乘之机。

Instagram

根据披露的信息，这一漏洞在 2026 年 4 月中旬至 5 月底期间被持续利用。攻击者通过相关聊天机器人申请密码重置链接，系统却未核验所填写邮箱与账号绑定信息是否一致。借此，攻击者可以把他人账户与自己的邮箱关联，并在目标用户未启用双重身份验证的情况下接管账户。为降低被发现的风险，相关人员还通过 VPN 伪装地理位置，使其看起来与受害者所在区域一致。

Meta 表示，攻击者获得账户控制权后，可能进一步接触到账户中的敏感信息，包括私信、出生日期、电话号码以及私人照片。若相关账户与该公司其他平台存在关联，理论上也可能带来更大范围的安全风险。与此同时，一些通过漏洞获得的短字符或较易识别的用户名，也在社交平台上的灰色交易网络中被转卖。

在 2026 年 5 月 31 日发现漏洞后，Meta 已停用涉事客服系统，并使此前生成的所有密码重置链接失效。可能受影响的账户目前需要完成强制安全流程，账户持有人需重新验证身份并尽快修改登录信息。Meta 称，只有在能够可靠验证账户联系信息后，该数字客服工具才会重新上线。

版权所有，未经许可不得转载