Instagram сам віддавав хакерам ваші профілі: паролі та двофакторка не врятували

Як повідомляє Ukrainian Wall, масштабний злам облікових записів користувачів Instagram сколихнув соцмережу — хакери знайшли спосіб отримувати доступ до чужих акаунтів, не знаючи ні паролів, ні кодів двофакторної автентифікації. Тисячі профілів опинилися під загрозою через вразливість, яку ніхто не очікував побачити в офіційному інструменті самої платформи.

За даними розслідування, опублікованого 2 червня 2026 року, зловмисники використовували офіційний чат-бот підтримки Instagram, щоб обманом отримувати контроль над обліковими записами. Механізм виявився напрочуд простим: бот, призначений допомагати користувачам відновлювати доступ до акаунтів, не мав належного захисту від соціальної інженерії.

Хакери надсилали чат-боту сфабриковані документи та запити, видаючи себе за власників акаунтів. Система автоматично обробляла звернення і, не вимагаючи достатніх підтверджень особи, передавала зловмисникам логіни, паролі та навіть обходила двофакторний захист. Таким чином, для зламу не потрібні були ані фішингові листи, ані шкідливе програмне забезпечення — достатньо було просто «поговорити» з ботом.

Як працював механізм зламу

Схема виявилася ефективною саме через автоматизацію процесу підтримки. Чат-бот Instagram не мав алгоритмів, здатних відрізнити справжнього власника акаунта від шахрая з підробленими даними. За інформацією експертів із кібербезпеки, зловмисники масово використовували цей метод протягом кількох тижнів, доки вразливість не було виявлено.

Точна кількість постраждалих наразі невідома, однак дослідники говорять про «тисячі скомпрометованих акаунтів». У зоні ризику опинилися як звичайні користувачі, так і бізнес-профілі та акаунти публічних осіб. Meta, материнська компанія Instagram, офіційно підтвердила факт інциденту та заявила про впровадження додаткових заходів безпеки.

Що робити користувачам

Фахівці з кібербезпеки рекомендують негайно перевірити активність своїх акаунтів в Instagram: переглянути історію входів, активні сесії та підозрілі дії. Якщо виявлено незвичайну активність — терміново змінити пароль і повторно налаштувати двофакторну автентифікацію через надійний застосунок-автентифікатор, а не SMS.

Цей випадок став черговим нагадуванням, що навіть найбільші технологічні компанії світу не застраховані від критичних вразливостей у власних системах підтримки. Instagram, який налічує понад 2 мільярди активних користувачів, тепер змушений переглядати всю архітектуру безпеки своїх автоматизованих сервісів.

Експерти закликають користувачів не покладатися виключно на вбудовані механізми захисту платформ і додатково використовувати апаратні ключі безпеки там, де це можливо. Інцидент із чат-ботом Instagram вкотре доводить: найслабшою ланкою в кібербезпеці часто виявляється не технологія, а процедура.