
Meta AI 客服漏洞疑令 2 萬幾個 IG 帳戶被重設,帳戶復原係高危位
AI 可以幫手做客服,但改電郵同重設密碼唔可以當普通支援單處理
發生咩事
Meta 喺提交畀美國緬因州總檢察長辦公室嘅通知入面承認,Instagram 一個 AI-assisted 帳戶復原工具 HTS 曾被人利用,涉及 20,225 個可能受影響帳戶。呢個數字唔代表每個帳戶都一定被翻入去;Meta 自己形容係上限,條件包括經支援工具重設密碼、冇開 2FA、帳戶都可能被未授權存取。
問題出喺高權限流程
Meta 嘅說法幾關鍵:HTS 本身按設計運作,但另一條 code path 冇正確核對要求重設密碼嘅電郵,係咪真係同嗰個 Instagram 帳戶相連。結果攻擊者輸入自己控制嘅電郵,系統就可能將 password reset link 寄過去。開咗 2FA 嘅帳戶仍有多一關,冇開嘅就可能被改密碼再登入。
呢件事最值得驚醒嘅地方係:焦點唔只係 AI 會唔會講錯嘢,仲有平台將改電郵、重設密碼呢類高風險動作接咗去自動客服。客服流程本來就難:真用戶需要救帳戶,攻擊者就扮真用戶。AI 可以快,可以 24/7,但一碰到帳戶復原,就要有獨立驗證、風險評分、速率限制同必要時人工覆核,唔可以淨係靠對話跑完整件事。
The Verge 同 BleepingComputer 都提到,早前有高知名度帳戶受影響,包括 Obama 時期 White House 舊帳戶、US Space Force 高層帳戶同 Sephora。呢啲名字搶眼,但普通帳戶一樣有價值:私訊、相、stories、生日、電話、電郵、已連結服務,都可能成為下一輪釣魚、勒索或者社交工程材料。
喺香港,Instagram 對好多小店、創作者同自由工作者都係半個 CRM。帳戶一失守,唔止係相簿問題,仲可能牽涉 DM 訂單、客人資料、廣告帳戶、Meta Business 權限同已連結 Facebook Page。暫時冇公開資料顯示香港有幾多帳戶受影響,所以唔應該亂估;但作為日常營運入口,IG 帳戶真係要當工作帳戶咁保護。
而家可以做嘅幾件事
- 開 2FA,最好用 authenticator app、passkey 或 security key;SMS 好過冇,但唔係首選。
- 檢查登入紀錄,見到唔識嘅裝置或地點就即刻登出同改密碼。
- 核對帳戶電郵、電話、復原設定、已連結 Facebook / Meta Business 權限。
- 小店要順手查第三方 app、廣告帳戶管理員、收款同客服 inbox 權限。
Meta 話已停用涉事 AI 支援工具、移除有問題 code path、作廢相關 password reset link,亦將可能受影響帳戶放入 mandatory security checkpoint。呢啲補救係必要,但更重要係之後點重開:只要 AI agent 可以觸發帳戶復原,安全檢查就要喺 agent 之外獨立成立。用戶側 2FA 係最實際護欄;平台側就唔可以將高風險流程包裝成普通客服效率問題。
參考來源
- The Verge — Hackers likely hijacked over 20,000 Instagram accounts with Meta’s AI chatbot — original report
- Maine Office of the Attorney General Data Breach Notice: Meta Platforms, Inc. — 官方 breach notice 頁面,列出 20,225 個受影響帳戶、30 名 Maine 住戶、發現日期同通知資料。
- Meta AI Support Tool Incident - AG Notification ME PDF — Meta 俾 Maine AG 嘅正式通知 PDF,交代 HTS、email match 驗證失效、2FA 條件同補救措施。
- BleepingComputer: Over 20,000 Instagram accounts stolen in Meta AI support hack — 保安媒體交叉核對 HTS 工具、2FA 條件、資料類別同平台補救。
- Instagram Help: How to use 2FA to secure your Instagram account — Instagram 官方 2FA 指引,用嚟核對實用防護建議。
- Instagram Help: How to fix and secure hacked Instagram accounts — Instagram 官方被盜帳戶支援頁,對應檢查同復原建議。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







