أكدت شركة Meta استغلال مهاجمين لثغرة أمنية في نظام مدعوم بالذكاء الاصطناعي مخصص لاسترداد حسابات Instagram؛ مكنهم من إعادة تعيين كلمات المرور والسيطرة على حسابات مستخدمين آخرين، ولا سيما الحسابات التي لم تفعل ميزة المصادقة الثنائية.
ووفقاً لإشعار خرق البيانات الذي قدمته الشركة إلى مكتب المدعي العام في ولاية مين الأمريكية يوم الجمعة 5 يونيو 2026، أخطرت Meta ما لا يقل عن 20,225 مستخدماً بتعرض حساباتهم للاختراق، من بينهم 30 شخصاً في الولاية ذاتها. وأوضحت الشركة أن هذه الحملة بدأت تقريباً في 17 أبريل 2026 واستمرت حتى الأسبوع الأول من يونيو، قبل أن تتمكن من تأمين النظام المتأثر.
ويرتبط هذا الخلل، بحسب إشعار Meta، بما وصفته الشركة بـ “نظام مساعد بالذكاء الاصطناعي لاسترداد حسابات Instagram”؛ إذ كان النظام يسمح بإرسال رابط إعادة تعيين كلمة المرور إلى بريد إلكتروني يقدمه طالب الاسترداد، دون التحقق بطريقة صحيحة من ارتباط هذا البريد فعلياً بالحساب المستهدف.
وأفادت Meta بأن أداة الاسترداد كانت تعمل وفقاً للتصميم المحدد لها، إلا أن مساراً برمجياً منفصلاً فشل في التحقق من تطابق عنوان البريد الإلكتروني المقدَّم مع البريد المسجل في الحساب. ونتيجة لهذا القصور، تمكنت أطراف غير مصرح لها من استقبال روابط إعادة تعيين كلمات المرور لحسابات لا تملكها، ثم غيرت كلمات المرور واستولت على صلاحيات الوصول الكاملة إليها.
وكانت تقارير أولية قد أشارت إلى أن المهاجمين استغلوا روبوت الدعم التابع لـ Meta AI لطلب إضافة بريد إلكتروني جديد أو إرسال رمز تحقق إلى بريد يقع تحت سيطرتهم، مستكملين بذلك عملية إعادة التعيين. كما أفادت التقارير بأن بعض الحسابات المستهدفة كانت ذات قيمة عالية أو تحمل أسماء مستخدمين مرغوبة، ما جعلها هدفاً لحملات استحواذ منظمة.
وبناء على ما ورد في الإشعار، فإن الاختراق قد يتيح للمهاجمين الوصول الكامل إلى الحساب المستهدف وأي حسابات أخرى مرتبطة به، بما يشمل معلومات الاتصال، وتواريخ الميلاد، وبيانات الملف الشخصي، بالإضافة إلى المنشورات، والرسائل المباشرة، ونشاط الحساب. ومع ذلك، ذكرت Meta أنها لا تملك أدلة حتى الآن تؤكد الوصول الفعلي إلى أي معلومات شخصية خلال هذه العمليات.
وقد وجهت الشركة المستخدمين المتأثرين بضرورة إعادة تعيين كلمات مرورهم وإعادة توثيق هوياتهم عبر قنوات آمنة وموثوقة. كما أعلنت عن تعطيل روبوت الذكاء الاصطناعي المعني مؤقتاً، وحذف المسار البرمجي الذي سمح له بتنفيذ عمليات الاسترداد، إلى جانب بدء مراجعة شاملة للروبوتات الأخرى عبر منصاتها للحد من احتمالية تكرار مثل هذه الثغرات.
