Το ίδιο το εργαλείο λειτουργεί σωστά και λειτουργεί όπως προβλέπεται. Ωστόσο, λόγω ενός σφάλματος σε μια ξεχωριστή διαδρομή κωδικού, το σύστημα δεν επαλήθευσε σωστά ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου που δόθηκε από το άτομο που ζητούσε επαναφορά κωδικού πρόσβασης ταίριαζε με τη διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με τον λογαριασμό Instagram αυτού του χρήστη. Ως αποτέλεσμα, όταν κάποιος παρέχει μια διεύθυνση email που δεν έχει συσχετιστεί προηγουμένως με τον λογαριασμό, το σύστημα στέλνει εσφαλμένα έναν σύνδεσμο επαναφοράς κωδικού πρόσβασης στο μη συσχετισμένο email αντί να απορρίψει το αίτημα. Αυτό επέτρεψε σε μη εξουσιοδοτημένα τρίτα μέρη να λάβουν έναν σύνδεσμο επαναφοράς κωδικού πρόσβασης για λογαριασμούς που δεν τους κατείχαν.
Ο Μέτα λέει ότι η επίθεση εμφανίστηκε για πρώτη φορά στις 31 Μαΐου, με τον επικεφαλής επικοινωνίας του Meta, Άντι Στόουν Λέγοντας εταιρεία Το περιστατικό «λύθηκε» την 1η Ιουνίου. Κατά τη διάρκεια αυτής της περιόδου, πολλοί λογαριασμοί υψηλού προφίλ στο Instagram επηρεάστηκαν, συμπεριλαμβανομένου του παλιού λογαριασμού του πρώην προέδρου Μπαράκ Ομπάμα στον Λευκό Οίκο, του Αρχηγού της Διαστημικής Δύναμης των ΗΠΑ, Λοχία Τζον Φ. Μπεντέβνα και των Sephora. Στην ανακοίνωση, η Meta προσθέτει ότι “δεν γνωρίζει” εάν έγινε πρόσβαση σε προσωπικά δεδομένα ως αποτέλεσμα της εκμετάλλευσης, αλλά σημειώνει ότι οι εισβολείς λογαριασμών θα μπορούσαν να είχαν λάβει διευθύνσεις email, αριθμούς τηλεφώνου, ημερομηνίες γέννησης, αναρτήσεις στα μέσα κοινωνικής δικτύωσης, άμεσα μηνύματα, πληροφορίες προφίλ, δραστηριότητα λογαριασμού και συνδεδεμένους λογαριασμούς.
Η ανακοίνωση αναφέρει ότι 30 από τους επηρεασμένους χρήστες ζουν στο Μέιν. Ο αριθμός αναφέρεται σε “χρήστες που είχαν επαναφέρει τους κωδικούς πρόσβασής τους μέσω του εργαλείου υποστήριξης, δεν είχαν ενεργοποιημένο έλεγχο ταυτότητας δύο παραγόντων στους λογαριασμούς τους και των οποίων οι λογαριασμοί Instagram είχαν πιθανώς πρόσβαση από μη εξουσιοδοτημένο μέρος” — αν και η Meta λέει ότι είναι “το ανώτατο όριο”, καθώς σε ορισμένους από αυτούς τους λογαριασμούς μπορεί να έχει γίνει νόμιμη πρόσβαση.
Η εταιρεία σημειώνει ότι απενεργοποίησε το εργαλείο υποστήριξης AI και αφαίρεσε την ελαττωματική διαδρομή κώδικα, ακυρώνοντας τυχόν συνδέσμους επαναφοράς κωδικού πρόσβασης που δημιουργήθηκαν χρησιμοποιώντας αυτό το exploit. Καταχώρισε επίσης όλους τους πιθανώς επηρεασμένους λογαριασμούς “σε ένα υποχρεωτικό σημείο ελέγχου ασφαλείας που απαιτεί έλεγχο ταυτότητας για να είναι δυνατή η πρόσβαση σε οποιονδήποτε λογαριασμό.”
