Meta AI 客服畀人呃改 Instagram email:帳戶保安最怕權限太大
官方披露 20,225 人受影響,焦點係 recovery workflow
Instagram 帳戶被 takeover 向來唔新鮮,但今次值得睇,因為入口唔止係假登入頁、木馬或者撞密碼,麻煩位喺 Meta 自己嘅 AI support。Android Authority 引述《紐約時報》指,Meta 內部文件見到約 34,000 個 IG 帳戶受攻擊影響;Meta 向 Maine AG 提交嘅 breach notice,就披露 20,225 人可能受影響。兩組數字口徑唔完全一樣,所以最穩陣嘅講法係:官方確認核心數字係 20,225,NYT 見到嘅內部範圍更闊。
關鍵位好低科技。Meta 嘅 High Touch Support(HTS)原本係畀鎖咗帳戶嘅人用 AI-assisted support 搵返登入方法。攻擊者喺流程入面要求將目標帳戶嘅 email 改到自己控制嘅地址;系統本來應該核對呢個 email 係咪已綁定嗰個 IG 帳戶,但 bug 令 reset link 發去未綁定嘅 email。只要目標冇開 2FA,攻擊者拎到 reset link 就可以改密碼登入。
Meta 喺 filing 入面講,佢哋 5 月 31 日發現漏洞,同日停用相關 AI-assisted support tool、移除有事 code path、作廢已產生嘅 reset links,並將可能受影響帳戶放入 mandatory security checkpoint。官方信件又話,暫時唔知道有冇個人資料被讀取,但帳戶入面可被接觸嘅資料包括 email、電話、生日、相片影片、DM、profile、帳戶活動同 linked services。呢點要講清楚:Meta 冇話所有資料都已經外洩,但一旦帳戶被 take over,風險就唔止停留喺用戶名。
Meta 3 月先高調講 AI support assistant,話佢可以幫人處理 account issue,仲可以做 password reset、privacy settings、profile settings 等 action。換句話講,Meta 做嘅已經超出 FAQ 搜尋框:佢畀 AI 接觸帳戶操作。Android Authority 指,今次出事後 Meta 暫停嘅係涉事 recovery experiment,其他 AI support 推進未煞停。呢個取態唔意外;平台每日支援量太大,自動化好難收返入櫃,但保安設計就要跟得上。
放返香港睇,呢件事同日常距離其實好近。DataReportal 用 Meta ad tools 數字估算,Instagram 喺香港 2025 年底有約 405 萬用戶,18 歲以上 ad audience 覆蓋超過六成。好多小店、攝影師、KOL、二手買賣同活動單位都靠 IG 收 DM、接單、放 story;帳戶一畀人拎走,私隱、客戶對話、付款連結同品牌信用都會變成攻擊面。創作者同 IG shop 嘅帳戶價值,往往唔只係粉絲數。
圖片:Meta Newsroom
而家可以做嘅事好實際:
- 檢查 Instagram 綁定 email、電話同 recovery contact,有陌生項目就即刻改。
- 睇 Login activity,有唔識嘅裝置或者地點就登出,再改密碼。
- 2FA 優先用 authenticator app 或 passkey;SMS 好過冇,但唔係最好。
- IG 綁定嘅 email 本身都要開 2FA,因為 recovery email 一失守,IG 會跟住被拖低。
對平台嚟講,防線要搬去工具層。AI 可以傾偈同收集資料,但高風險 action 要有獨立 policy engine 核對,唔可以只靠 chatbot 自己判斷;email 變更、password reset、2FA reset 要分開授權、限速、留 audit log,同設真人覆核門檻。OWASP 講 excessive agency,核心就係功能、權限、自主性過大會放大事故。Meta 今次話會 review 類似 account recovery flows,呢句比「AI 繼續 rollout」更值得追問:AI support 可以快,但快到幫攻擊者改門匙,就係產品設計問題。
參考來源
- Android Authority — Hackers used Meta AI to expose over 34,000 Instagram accounts, but Meta isn’t slowing down — original report
- Maine Attorney General - Data Breach Notice: Meta Platforms, Inc. — 官方 disclosure 頁面,用嚟核對 20,225 人、30 名 Maine 居民、4 月 17 日同 5 月 31 日日期。
- Maine Attorney General - Meta AI Support Tool Incident PDF — Meta 提交嘅 incident notice,講明 HTS、email 核對 bug、2FA 條件同補救措施。
- Meta Newsroom - Boosting Your Support and Safety on Meta's Apps With AI — Meta 3 月公布 AI support assistant,可以處理 password reset、privacy settings 同 profile settings 等 action。
- Instagram Help - How to use 2FA to secure your Instagram account — Instagram 官方 2FA 說明,用嚟支持用戶保安建議。
- Instagram Help - About hacked Instagram accounts — Instagram 官方 hacked account help,涵蓋 email changed、phishing 同 unauthorized posts。
- DataReportal - Digital 2026: Hong Kong — 香港 Instagram 規模背景:2025 年底約 405 萬用戶、18 歲以上 ad audience 超過六成。
- OWASP Gen AI Security Project - LLM06:2025 Excessive Agency — AI agent 權限過大嘅安全框架,用嚟解釋點解 recovery workflow 要有獨立防線。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
