309/69 (IT) ประจำวันอังคารที่ 9 มิถุนายน 2569
Meta เปิดเผยว่ามีบัญชี Instagram จำนวน 20,225 บัญชีถูกยึดจากเหตุการณ์ที่ผู้โจมตีใช้ประโยชน์จากช่องโหว่ระบบช่วยกู้คืนบัญชีแบบ AI-assisted หรือ High Touch Support (HTS) เพื่อขอลิงก์รีเซ็ตรหัสผ่าน โดยระบบดังกล่าวถูกออกแบบมาเพื่อช่วยผู้ใช้กู้คืนการเข้าถึงบัญชี Instagram เมื่อไม่สามารถเข้าใช้งานบัญชีได้
สาเหตุเกิดจากระบบ HTS ไม่ได้ตรวจสอบอย่างถูกต้องว่าอีเมลที่ใช้รับลิงก์รีเซ็ตรหัสผ่านตรงกับอีเมลที่ลงทะเบียนไว้กับบัญชี Instagram นั้นหรือไม่ ส่งผลให้ผู้โจมตีสามารถระบุอีเมลที่ตนควบคุมเพื่อรับลิงก์รีเซ็ตรหัสผ่านของบัญชีผู้อื่นได้ และหากบัญชีนั้นไม่ได้เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (2FA) ผู้โจมตีจะสามารถรีเซ็ตรหัสผ่านและเข้าสู่บัญชีได้ ทั้งนี้ Meta ระบุว่าพบช่องโหว่ในระบบดังกล่าวเมื่อวันที่ 31 พฤษภาคม 2569
หลังตรวจพบเหตุการณ์ Meta ได้ปิดใช้งานระบบ HTS และลิงก์รีเซ็ตรหัสผ่านทั้งหมดที่ระบบสร้างไว้ เพื่อป้องกันการนำไปใช้โจมตีเพิ่มเติม รวมถึงกำหนดให้บัญชีที่อาจได้รับผลกระทบต้องผ่านกระบวนการตรวจสอบความปลอดภัย และให้ผู้ใช้ที่ได้รับผลกระทบรีเซ็ตรหัสผ่านพร้อมยืนยันตัวตนใหม่อีกครั้ง Meta ระบุว่าจะปรับปรุงการตรวจสอบอีเมลในกระบวนการกู้คืนบัญชี Instagram และทบทวนกระบวนการกู้คืนบัญชีที่ลักษณะเดียวกันบนแพลตฟอร์มอื่นของ Meta