Tóm tắt
Meta vừa thông báo cho hàng nghìn người dùng Instagram rằng tài khoản của họ đã bị chiếm trong một chiến dịch tấn công kéo dài nhiều tháng. Hacker khai thác chatbot AI hỗ trợ account recovery của Meta bằng cách hỏi chatbot gửi password reset link đến email tự chọn — và hệ thống làm theo dù email đó không liên quan gì đến account.
Theo data breach notice mà Meta gửi cho Maine attorney general, ít nhất 20.225 người đã bị chiếm account, trong đó có 30 người ở Maine. Chiến dịch tấn công bắt đầu từ khoảng 17/4 và kéo dài đến tận đầu tháng 6/2026 khi Meta phát hiện và disable chatbot.
Cơ chế tấn công
Meta xác nhận trong notice rằng vụ rò rỉ liên quan đến “vulnerability trong AI-assisted account recovery system của Instagram,” bị khai thác để “thực hiện password reset trên các Instagram user account.”
Vấn đề kỹ thuật cụ thể:
“Tool itself worked properly and functioned as intended; however due to a bug in a separate code path, the system did not properly verify that the email address provided by the individual requesting a password reset matched the email address associated with that user’s Instagram account.”
“As a result, when an individual provided an email address not previously associated with the account, the system incorrectly sent a password reset link to that unassociated email rather than rejecting the request. This allowed unauthorized third parties to receive a password reset link for accounts they did not own.”
Trình tự khai thác:
- Attacker mở chat với Meta AI support chatbot, nói “I’ve been hacked”
- Cung cấp username của target và một email do attacker kiểm soát
- Chatbot gửi password reset link đến email của attacker thay vì reject
- Attacker reset password và chiếm full account
Lỗ hổng chỉ ảnh hưởng các account không bật two-factor authentication.
Phạm vi ảnh hưởng
Khi chiếm được account, hacker có toàn quyền truy cập:
- Profile info, contact information, ngày sinh
- Tất cả posts, direct messages, account activity
- Các tài khoản liên kết
Meta nói “unaware” việc thông tin cá nhân nào đã thực sự bị truy cập trong các vụ chiếm account này.
Phản ứng của Meta
- Disable AI chatbot dùng cho account recovery
- Remove code path cho phép chatbot reset password
- Audit toàn bộ chatbot khác trên các platform của Meta
- Notify user bị ảnh hưởng để reset password và re-authenticate
Không rõ vì sao chatbot lại có quyền trigger password reset mà không qua verification layer. Vụ việc xảy ra ngay sau khi Meta layoff hàng nghìn nhân viên và tăng tốc đầu tư vào AI.
Bài học cho developer
Chatbot không phải authorization layer. Khi gắn LLM vào critical flow:
- Mọi action có security implication (password reset, payment, data export, delete) phải pass qua check riêng biệt — deterministic, có audit log, có rate limit
- Không bao giờ trust input từ user thông qua chatbot khi action cần ownership verification
- Pattern “agent đủ thông minh để verify identity hộ tôi” là anti-pattern nguy hiểm
- Email/identifier verification phải so sánh với data trong database trước khi gửi sensitive link
- Two-factor authentication là baseline bắt buộc cho mọi user account
Đây là counter-example sẵn để show cho stakeholder khi ai đó đề xuất “để AI tự handle account recovery cho đỡ tốn engineer.”