Plus de 20 000 comptes Instagram détournés via le chatbot d’assistance IA de Meta

Résumé

Meta a confirmé qu’un bug dans son chatbot d’assistance IA pour Instagram a permis à des hackers de détourner 20 225 comptes. Les attaquants pouvaient demander au bot de lier l’adresse e‑mail d’un tiers à un compte cible, ouvrant la voie à l’accès à des données personnelles comme l’e‑mail, le numéro de téléphone ou la date de naissance.

Les faits

Meta a confirmé que 20 225 comptes Instagram ont été touchés par une faille exploitant son chatbot d’assistance IA destiné au support des utilisateurs. Selon la description de l’incident, cette vulnérabilité a permis à des hackers de détourner le processus de gestion des comptes via cet outil. L’exploit consistait à demander directement au chatbot d’assistance IA de lier le compte Instagram d’une victime à l’adresse e‑mail contrôlée par l’attaquant. Meta indique que ce comportement résulte d’un « bug » dans le système, qui a rendu possible l’ajout de cette adresse non autorisée à un compte existant. En conséquence, des pirates ont pu prendre le contrôle de plus de 20 000 comptes Instagram sans passer par l’authentification à deux facteurs. Meta précise que l’entreprise attribue explicitement cette possibilité de détournement de compte à une erreur dans le fonctionnement de son outil d’assistance. Au‑delà de la simple prise de contrôle, les comptes compromis pouvaient exposer un large éventail d’informations sensibles. Les données potentiellement accessibles incluent l’adresse e‑mail, le numéro de téléphone, la date de naissance et d’autres éléments de profil, ce qui accentue la gravité de l’incident.

Pourquoi c’est important

Cet incident illustre les risques liés à l’intégration d’outils d’intelligence artificielle dans des fonctions critiques comme le support et la récupération de comptes. En transformant un chatbot d’assistance en vecteur d’attaque, un simple « bug » a suffi à ouvrir l’accès à plus de 20 000 comptes et à des données personnelles sensibles. L’affaire pose également la question de la robustesse des processus de validation et de sécurité lorsque des systèmes d’IA sont déployés à grande échelle. Le fait que des hackers aient pu lier leur propre adresse e‑mail à des comptes Instagram cibles, puis contourner l’authentification à deux facteurs, souligne l’importance d’une supervision technique stricte et de tests approfondis avant la mise en production de tels outils.

Questions fréquentes

Combien de comptes Instagram ont été touchés par cette faille ?

Meta a confirmé que 20 225 comptes Instagram ont été impactés par l’exploit visant le chatbot d’assistance IA.

Comment les hackers ont-ils détourné les comptes Instagram ?

Ils ont demandé au chatbot d’assistance IA de lier le compte d’une victime à leur propre adresse e‑mail, en profitant d’un bug dans le système.

Quelles données personnelles pouvaient être consultées ?

Les attaquants pouvaient potentiellement accéder à des informations comme l’adresse e‑mail, le numéro de téléphone, la date de naissance et d’autres données de profil.

Meta a-t-elle expliqué l’origine du problème ?

Oui, Meta attribue l’exploit à un « bug » qui a permis au chatbot de lier un compte à l’e‑mail d’un hacker.

L’authentification à deux facteurs a-t-elle été efficace ?

La faille a permis aux attaquants d’hijacker des comptes sans passer par l’authentification à deux facteurs.

Source

Auteur

Rédaction spécialisée dans la veille et l'analyse de l'actualité de l'intelligence artificielle, des puces IA, des robots, des agents IA et de la recherche.