Автоматизация модерации и техподдержки в экосистеме Meta обернулась масштабным провалом в безопасности. В начале июня индустрию потряс громкий инцидент: злоумышленники обнаружили критическую уязвимость в ИИ-ассистенте службы поддержки (Meta AI Support Assistant), заставив алгоритм принудительно перепривязывать чужие учетные записи. Атака оказалась цинично простой и не требовала взлома серверов или кражи паролей. Хакеры использовали банальные текстовые инструкции (промпт-инъекции) и обычный обход региональных фильтров. Под удар попали не только ценные короткие юзернеймы, но и крупные коммерческие профили, включая рекламные кабинеты и связанные бизнес-менеджеры (BM).
Техника обмана: как именно робот сливал доступы
Архитектурная брешь крылась в расширенных полномочиях ИИ-помощника, которому инженеры Meta в марте поручили самостоятельно решать рутинные вопросы восстановления паролей. Хакерам удалось полностью деактивировать встроенные защитные барьеры нейросети с помощью Telegram-скриптов и грамотной социальной инженерии, направленной на виртуального агента. В результате бот безропотно менял ключевые регистрационные данные без ведома реального владельца.
Для реализации схемы атакующим требовался минимальный подготовительный этап, состоящий из трех шагов. Наличие двухфакторной аутентификации (2FA) усложняло задачу, но аккаунты со стандартной защитой улетали в чужие руки за несколько минут.
Географическая маскировка. Злоумышленники подключались через VPN к региону, в котором обычно находилась цель, чтобы встроенные триггеры безопасности Facebook и Instagram не фиксировали подозрительную активность.
Запуск восстановления. На странице авторизации прожималась кнопка «Забыли пароль», после чего диалог переводился на текстовый чат с Meta AI Support Assistant.
Промпт-атака. Вместо выбора предложенных вариантов хакеры отправляли специальный запрос с требованием привязать к профилю новый, подконтрольный им email-адрес. ИИ генерировал код верификации на ящик взломщика, и после его ввода пароль успешно сбрасывался.
Последствия для рекламных сетапов и медиабаинга
Официальные представители Meta уже заявили о ликвидации уязвимости, однако волна взломов спровоцировала панику среди арбитражных команд и агентств. Потеря контроля над профилем, к которому привязаны платежные карты и активные Business Manager с большими лимитами затрат, грозит мгновенным сливом бюджетов. Тот факт, что среди пострадавших оказались даже верифицированные правительственные страницы и аккаунты известных специалистов по безопасности, доказывает уязвимость всей автоматизированной системы Meta.
Ситуация усугубляется тем, что у пострадавших команд практически нет возможности оперативно вернуть доступы через живую поддержку. Сокращение штата модераторов и замена людей алгоритмами привели к тому, что тикеты на восстановление обрабатываются неделями, пока угнанные аккаунты активно используются для пролива серых офферов.
Как защитить инфраструктуру от отката алгоритмов
Внедрение экстренных патчей со стороны Meta всегда сопровождается штормом в рекламной выдаче. Чтобы закрыть брешь, защитные роботы корпорации начинают массово выжигать любые подозрительные действия, что выливается в необоснованные баны честных рекламодателей. Для сохранения аккаунтов командам баинга необходимо срочно пересмотреть правила безопасности своих сетапов.
Тотальная активация 2FA. Использование двухфакторной защиты через сторонние приложения (например, Google Authenticator) на всех без исключения профилях — единственный надежный барьер, который ломал логику данного ИИ-эксплойта.
Разделение прав в Business Manager. Запрещено держать все активы на одном админском профиле. Важно распределять доступы между несколькими резервными социальными аккаунтами с разной географией.
Контроль за логами сессий. Регулярная проверка подключенных устройств и удаление старых сессий внутри учетных записей снижают риск того, что автоматика Meta сочтет действия стороннего софта легитимными.
👉🏻Следите за новостями в нашем telegram-канале — Новости Арбитража.
Нет комментариев.