أكدت ميتا وجود ثغرة أمنية في نظام استعادة حسابات انستجرام المدعوم بالذكاء الاصطناعي، تسببت في تمكين مهاجمين إلكترونيين من السيطرة على أكثر من 20 ألف حساب حول العالم، واستغل القراصنة الخلل للحصول على روابط إعادة تعيين كلمات المرور، ما منحهم القدرة على اختراق الحسابات التي لم تكن تستخدم ميزة المصادقة الثنائية (2FA).
الخلل وُجد داخل أداة “High Touch Support” أو HTS، وهي نظام مدعوم بالذكاء الاصطناعي صُمم لمساعدة المستخدمين على استعادة الوصول إلى حساباتهم المقفلة، وأوضحت الشركة أن المهاجمين تمكنوا من استغلال ثغرة في آلية التحقق الخاصة بالنظام، ما سمح لهم بإعادة تعيين كلمات مرور الحسابات المستهدفة والسيطرة عليها.
وجاء اعتراف ميتا بالحادثة بعد أسابيع من شكاوى مستخدمي إنستجرام الذين أكدوا فقدانهم القدرة على الوصول إلى حساباتهم، كما تأثرت عدة حسابات بارزة، من بينها حساب البيت الأبيض الخاص بالرئيس الأمريكي الأسبق Barack Obama، بالإضافة إلى حساب العلامة التجارية Sephora وحساب القيادة العليا لـ United States Space Force.
بحسب تقارير إعلامية، استغل المهاجمون خطأً جوهرياً في آلية عمل روبوت الدعم المعتمد على الذكاء الاصطناعي، إذ لم يكن النظام يتحقق بشكل كافٍ من ارتباط البريد الإلكتروني المُستخدم في طلب الاستعادة بالحساب المستهدف، واستطاع القراصنة إقناع المساعد الآلي بربط الحسابات المستهدفة بعناوين بريد إلكتروني جديدة يسيطرون عليها، ثم طلبوا إعادة تعيين كلمة المرور، وبعد استلام رموز التحقق، تمكنوا من الدخول إلى الحسابات والاستحواذ عليها بالكامل.
تصفح أيضًا: ميتا تسرح آلاف الموظفين.. ومؤسس «أوكولوس» يدافع عن قرارات مارك زوكربيرج
كما أظهرت لقطات شاشة ومقاطع فيديو متداولة على تطبيق Telegram مهاجمين يتفاعلون مباشرة مع مساعد الدعم الذكي، وفي بعض الحالات، استخدم القراصنة خدمات VPN لمحاكاة الموقع الجغرافي لصاحب الحساب الحقيقي، ما جعل طلبات الاستعادة تبدو أكثر مصداقية أمام النظام.
كشفت ميتا عن الحادثة رسمياً ضمن إخطار بخرق بيانات تم تقديمه إلى مكتب المدعي العام في ولاية مين الأمريكية، وأوضحت الشركة أنها اكتشفت الثغرة في 31 مايو 2026، بينما تشير التحقيقات إلى أن أول عملية اختراق ناجحة ربما حدثت في 17 أبريل من العام نفسه، وأكدت الشركة أن 30 مستخدماً في ولاية مين تأثروا بالحادثة، وأن جميع الحسابات المتضررة جرى تأمينها لاحقاً، كما قدّرت أن عدد الحسابات المتأثرة عالمياً تجاوز 20 ألف حساب.
أقرت ميتا بأنها لا تستطيع تحديد جميع البيانات التي تمكن المهاجمون من الوصول إليها، لكنها حذرت من احتمال تعرض مجموعة واسعة من المعلومات للكشف، تشمل عناوين البريد الإلكتروني، وأرقام الهواتف، وتواريخ الميلاد، ومعلومات الملفات الشخصية، والصور ومقاطع الفيديو، والقصص (Stories)، والرسائل الخاصة، وسجلات نشاط الحساب، وبيانات الخدمات المرتبطة بالحسابات.
عقب اكتشاف الثغرة، أوقفت ميتا نظام HTS مؤقتاً، وأبطلت جميع روابط إعادة تعيين كلمات المرور التي تم إنشاؤها عبر الأداة، كما فرضت إجراءات تحقق إضافية على الحسابات المحتمل تأثرها، وألزمت أصحابها بتغيير كلمات المرور قبل استعادة الوصول إليها، وأكدت الشركة أنها تعمل على تعزيز آليات التحقق من البريد الإلكتروني قبل إعادة تشغيل النظام، إلى جانب مراجعة أنظمة استعادة الحسابات المشابهة عبر منصاتها المختلفة.
أعادت الحادثة فتح النقاش حول توجه ميتا المتزايد نحو استبدال خدمات الدعم التقليدية بأنظمة الذكاء الاصطناعي، وكانت الشركة قد وسعت خلال الأشهر الماضية استخدام أدوات الدعم الآلية على فيسبوك وإنستجرام للتعامل مع استعادة الحسابات وإعادة تعيين كلمات المرور والطلبات الأمنية المختلفة، لكن الاختراق الأخير يسلط الضوء على المخاطر المحتملة للاعتماد على الأنظمة المؤتمتة في اتخاذ قرارات أمنية حساسة دون وجود طبقات حماية وضوابط تحقق كافية.
