Metaが公開したデータ漏洩通知により、Instagram AIチャットボットの脆弱性によって少なくとも20,225アカウントが侵害されたことが明らかに

Metaの「High Touch Support」というAI搭載のアカウント回復ツールに存在するバグにより、2026年4月17日頃から2026年5月31日の発見まで、約7週間にわたって攻撃者がInstagramアカウントを乗っ取った。少なくとも20,225アカウントが侵害され、このうち30アカウントはMaine州内のもの。

チャットボットのコード内に検証が欠落した経路があり、メールアドレスがそのInstagramアカウントに実際に属しているかどうかを確認せずにパスワードリセットリンクを送信していた。侵害により、連絡先情報、生年月日、投稿、ダイレクトメッセージ、アカウントアクティビティ、プロフィール情報、リンク済みサービスへのアクセスの可能性があった。

Metaは直ちにチャットボットを無効化し、欠陥のあるコードパスを削除し、システムを通じて生成されたすべてのパスワードリセットリンクを無効にした。影響を受けたユーザーは強制的なセキュリティチェックポイントに置かれ、検証されたチャネルを通じてパスワードをリセットするよう求められた。