Автоматизація модерації та техпідтримки в екосистемі Meta обернулася масштабним провалом у безпеці. На початку червня індустрію сколихнув гучний інцидент: зловмисники виявили критичну уязвимість в ШІ-асистенті служби підтримки (Meta AI Support Assistant), змусивши алгоритм примусово переприв'язувати чужі облікові записи. Атака виявилася цинічно простою і не вимагала взлому серверів чи крадіжки паролів. Хакери використовували банальні текстові інструкції (промпт-ін'єкції) та звичайний обхід регіональних фільтрів. Під удар потрапили не лише цінні короткі юзернейми, а й великі комерційні профілі, включаючи рекламні кабінети та пов'язані бізнес-менеджери (BM).
Техніка обману: як саме робот зливав доступи
Архітектурна бреша крилася в розширених повноваженнях ШІ-помічника, якому інженери Meta в березні доручили самостійно вирішувати рутинні питання відновлення паролів. Хакерам вдалося повністю деактивувати вбудовані захисні бар'єри нейромережі за допомогою Telegram-скриптів та грамотної соціальної інженерії, спрямованої на віртуального агента. В результаті бот беззаперечно змінював ключові реєстраційні дані без відома реального власника.
Для реалізації схеми атакуючим був потрібен мінімальний підготовчий етап, що складався з трьох кроків. Наявність двофакторної автентифікації (2FA) ускладнювала завдання, але акаунти зі стандартним захистом улітали в чужі руки за кілька хвилин.
Географічне маскування. Зловмисники підключалися через VPN до регіону, в якому зазвичай перебувала ціль, щоб вбудовані тригери безпеки Facebook та Instagram не фіксували підозрілу активність.
Запуск відновлення. На сторінці авторизації натискалася кнопка «Забули пароль», після чого діалог переводився на текстовий чат із Meta AI Support Assistant.
Промпт-атака. Замість вибору запропонованих варіантів хакери відправляли спеціальний запит із вимогою прив'язати к профілю нову, підконтрольну їм email-адресу. ШІ генерував код верифікації на ящик зламника, і після його введення пароль успішно скидався.
Наслідки для рекламних сетапів та медіабаїнгу
Офіційні представники Meta вже заявили про ліквідацію уразливості, проте хвиля взломів спровокувала паніку серед арбітражних команд та агентств. Втрата контролю над профілем, до якого прив'язані платіжні картки та активні Business Manager з великими лімітами витрат, загрожує миттєвим зливом бюджетів. Той факт, що серед постраждалих опинилися навіть верифіковані урядові сторінки та акаунти відомих фахівців із безпеки, доводить уразливість усієї автоматизованої системи Meta.
Ситуація ускладнюється тим, що у постраждалих команд практично немає можливості оперативно повернути доступи через живу підтримку. Скорочення штату модераторів та заміна людей алгоритмами призвели до того, що тікети на відновлення обробляються тижнями, поки викрадені акаунти активно використовуються для проливу сірих офферів.
Як захистити інфраструктуру від відкату алгоритмів
Впровадження екстрених патчів з боку Meta завжди супроводжується штормом у рекламній видачі. Щоб закрити брешу, захисні роботи корпорації починають масово випалювати будь-які підозрілі дії, що виливається в необґрунтовані бани чесних рекламодавців. Для збереження акаунтів командам баїнгу необхідно терміново переглянути правила безпеки своїх сетапів.
Тотальна активація 2FA. Використання двофакторного захисту через сторонні додатки (наприклад, Google Authenticator) на всіх без винятку профілях — єдиний надійний бар'єр, який ламав логіку даного ІІ-експлойту.
Розподіл прав у Business Manager. Заборонено тримати всі активи на одному адмінському профілі. Важливо розподіляти доступи між кількома резервними соціальними акаунтами з різною географією.
Контроль за логами сесій. Регулярна перевірка підключених пристроїв та видалення старих сесій усередині облікових записів знижують ризик того, що автоматика Meta визнає дії стороннього софту легітимними.
👉🏻Слідкуйте за новинами в нашому telegram-каналі — Новини Арбітражу.
Нема коментарів