Flera välkända Instagram-konton ska ha kapats genom en metod som inte byggde på stulna lösenord eller avancerade hackerverktyg.
Enligt Ars Technica pekar det istället på att det är Metas AI-drivna supportsystem som är en central del av attackkedjan. Enligt uppgifterna lyckades angripare manipulera supportprocessen för att få tillgång till konton som tillhör profiler med många följare.
Läs mer: Meta vill ta betalt för dina sociala appar
Kända konton blev måltavlor
Konton med stora följargrupper är attraktiva mål för cyberkriminella. När ett konto väl tagits över kan det användas för bedrägerier, kryptorelaterade bluffar, spridning av skadliga länkar eller säljas vidare på den svarta marknaden.
Enligt rapporterna ska flera uppmärksammade konton ha drabbats. Bland dem nämns bland annat Obamas konto @obamawhitehouse, kosmetikföretaget Sephoras officiella Instagram-konto samt ett konto kopplat till USA:s högste underofficer inom Space Force. Angriparna ska även ha riktat in sig på attraktiva användarnamn som kan vara värda stora summor på andrahandsmarknaden.
Att man riktat in sig på profiler med betydande räckvidd på Instagram gör att konsekvenserna blir större än vid en vanlig kontokapning, eftersom ett enda inlägg från ett populärt konto kan nå hundratusentals eller till och med miljontals användare.
Läs mer: Säkerhetsexperter varnar: AI gör hackare snabbare
Använde Metas egen supportprocess
Enligt Ars Technica handlade attackerna inte om att bryta sig igenom Metas säkerhetssystem direkt. I stället ska angriparna ha utnyttjat företagets interna supportflöden, där AI används för att hantera och behandla ärenden.
Genom att manipulera processen kunde de få supportrelaterade åtgärder genomförda som i slutändan gav dem kontroll över konton som de inte ägde. Det gör attacken ovanlig eftersom den gick via samma system som är tänkt att hjälpa användare som tappat tillgången till sina konton.
AI blir en ny väg för angripare
Fallet illustrerar ett växande problem i takt med att fler företag använder AI inom kundservice och support. Ju fler beslut som automatiseras, desto mer intressanta blir systemen för personer som försöker hitta genvägar runt traditionella säkerhetskontroller.
Det innebär inte nödvändigtvis att AI:n i sig är sårbar. Men om ett automatiserat system får förtroende att hantera känsliga ärenden kan det bli en attraktiv måltavla för angripare som försöker manipulera processen.
Kontokapningar fortsätter vara ett stort problem
Instagram-konton med många följare har länge varit eftertraktade bland cyberkriminella. Förutom ekonomiska bedrägerier används kapade konton ofta för att sprida falska investeringserbjudanden, kryptobedrägerier och nätfiskeattacker.
Det som gör den här händelsen särskilt anmärkningsvärd är att angriparna enligt rapporten inte gick den vanliga vägen via lösenord eller dataläckor. I stället ska de ha utnyttjat Metas egen AI-drivna support för att komma åt några av plattformens mest värdefulla konton.
För Meta blir det ännu ett exempel på den svåra balansgången mellan effektiv AI-automatisering och säkerhet. För användarna är det en påminnelse om att hoten mot sociala medier inte längre bara kommer från hackare som försöker knäcka lösenord – utan även från personer som lär sig utnyttja de system som skapats för att hjälpa användarna.