Hacker kon Instagram-accounts overpakken door het braaf aan Meta-chatbot te vragen
Instagram heeft een ernstig beveiligingslek gedicht nadat hackers erin slaagden accounts over te nemen door simpelweg Meta’s eigen AI‑chatbot te misleiden. De aanval kreeg afgelopen weekend ruchtbaarheid op Reddit en X. Daarbij bleek het mogelijk om zonder toegang tot het e-mailadres van het slachtoffer toch het wachtwoord te resetten (via TechCrunch).
Onder de gehackte accounts bevonden zich opvallende namen, waaronder het officiële Instagram‑account van het Witte Huis uit de Obama‑periode en dat van John Bentivegna, de hoogste onderofficier van de Amerikaanse ruimtevaartdienst. Ook de bekende beveiligingsonderzoeker Jane Wong zat erbij. “Mijn wachtwoord werd gewijzigd zonder dat ik iets deed. Ik kreeg verschillende reset‑pogingen binnen. Best zorgwekkend,” zei ze.
Een video die op X circuleert, toont hoe eenvoudig de aanval verliep. De hacker gebruikte een VPN om zich voor te doen alsof hij zich in dezelfde regio bevond als het doelwit, om zo automatische beveiligingscontroles te omzeilen. Vervolgens opende hij een chat met de Meta AI Support Assistant en vroeg de bot om een nieuw e-mailadres toe te voegen aan het account van het slachtoffer. De chatbot stuurde vervolgens een verificatiecode naar het door de hacker opgegeven adres en accepteerde die code ook weer toen de hacker die teruggaf. Daarna verscheen een knop Reset Password, waarmee de aanvaller gewoonweg een nieuw wachtwoord kon instellen.
TechCrunch kon bevestigen dat het e-mailadres dat in de video verscheen effectief de verificatiecode ontving. Het is ongelofelijk dat de hacker nooit toegang nodig had tot het echte e-mailadres van het slachtoffer. De AI‑bot voerde de wijziging domweg uit zonder de nodige controle.
Instagram‑woordvoerder Andy Stone liet maandag weten dat het probleem inmiddels is opgelost. Hoeveel accounts precies zijn getroffen, blijft onduidelijk. Meta gaf nog geen verdere toelichting.
