- Mai multe conturi de Instagram ar fi fost compromise după ce atacatorii au păcălit botul Meta AI folosit pentru suport și recuperare de conturi
- Printre conturile vizate, potrivit relatărilor din presa tech, s-au numărat Sephora, cercetătoarea Jane Manchun Wong și contul arhivat Obama White House
- Atacul ar fi exploatat un flux automatizat de recuperare, unde botul putea procesa modificări sensibile fără verificări suficient de solide
- Meta a transmis, potrivit TechCrunch și The Guardian, că problema a fost rezolvată și că lucrează la securizarea conturilor afectate
- Incidentul arată riscul real al folosirii inteligenței artificiale în suport: când AI-ul poate schimba parole sau e-mailuri, nu mai este doar chatbot, ci portar cu chei
Meta a vrut să rezolve una dintre cele mai enervante probleme ale internetului: suportul pentru conturi. Când îți pierzi accesul la Instagram, nu vrei un labirint de formulare, linkuri moarte și mesaje automate care par scrise de un robot obosit.
Vrei ajutor rapid. Așa intră în scenă Meta AI, botul de suport gândit să ajute utilizatorii să își recupereze conturile mai ușor.
Doar că, potrivit PhoneArena, MacRumors, TechCrunch și Krebs on Security, hackerii ar fi găsit o metodă prin care să convingă același bot să îi ajute pe ei. Ironia este aproape prea bună ca să nu doară: sistemul creat pentru recuperarea conturilor ar fi fost folosit pentru deturnarea lor.
Relatările apărute pe 1 și 2 iunie 2026 descriu un atac asupra unor conturi de Instagram, în care asistentul AI al Meta ar fi procesat solicitări de modificare a datelor de acces. În unele cazuri raportate public, atacatorii ar fi reușit să schimbe adresa de e-mail asociată contului, fără să treacă prin verificări suficient de dure.
Nu este un simplu bug simpatic, de tipul „AI-ul a încurcat meniul”. Este o problemă serioasă de securitate cibernetică, pentru că botul nu oferea doar informații. Putea interveni într-un proces sensibil: recuperarea accesului la cont. Iar când un AI poate atinge setările de securitate, el nu mai este recepționer digital. Este paznic cu legitimație.
Cine a fost vizat: conturi mari, nume rare și trofee digitale
Țintele raportate nu au fost doar conturi anonime, pierdute în mulțimea de profiluri cu poze de vacanță și cafele reci. Potrivit relatărilor citate de presa tech internațională, atacatorii ar fi preluat sau încercat să preia conturi cu vizibilitate mare: Sephora, contul arhivat Barack Obama White House, cercetătoarea Jane Manchun Wong, dezvoltatorul Albert Renshaw, care deținea username-ul @albert, și un cont asociat U.S. Space Force.
De ce contează asta? Pentru că un cont de Instagram nu mai este doar o vitrină personală. Pentru un brand, este canal de marketing. Pentru un creator, este sursă de venit. Pentru o instituție, este canal public de comunicare. Pentru atacatori, este un activ. Uneori, un activ cu public, reputație, istoric și credibilitate deja construite.
Un username rar poate valora bani. Un cont verificat poate fi folosit pentru escrocherii. Un brand cunoscut poate deveni vehicul pentru phishing.
Iar un cont oficial compromis poate crea confuzie publică în câteva minute. Pe scurt, conturile mari sunt trofee digitale: arată bine pe peretele hackerilor și pot fi monetizate rapid.
Aici se vede de ce subiectul depășește zona de scandal tech. Dacă un bot AI poate fi manipulat să redeschidă ușa unui cont, problema nu mai este doar la Meta. Este un avertisment pentru orice companie care vrea să mute suportul, recuperarea conturilor și verificarea identității în mâna inteligenței artificiale.
Cum a fost păcălit sistemul: prea multă viteză, prea puține frâne
Relatările publice susțin că atacatorii ar fi folosit semnale de localizare pentru a părea mai credibili în fața sistemului Meta. Unele demonstrații apărute online ar fi arătat că, printr-o conexiune VPN poziționată aproape de zona victimei, botul putea fi convins să accepte cereri sensibile. În anumite cazuri, potrivit PhoneArena, sistemul ar fi cerut o verificare prin selfie, dar și aceasta ar fi putut fi ocolită cu imagini generate sau manipulate cu AI.
Din motive evidente, procedura exactă nu merită reprodusă pas cu pas. Dar logica generală este importantă: un flux automatizat de suport a fost convins că persoana care cerea accesul era utilizatorul legitim. Nu s-a spart neapărat ușa principală. Cineva a mers la ghișeu și a convins ghișeul să îi dea cheia.
Asta este partea neliniștitoare. Într-un atac clasic, hackerii caută o parolă slabă, o bază de date prost protejată sau un link de phishing. Aici, potrivit relatărilor, vulnerabilitatea ar fi stat în procesul de recuperare. Exact zona care ar trebui să fie colacul de salvare pentru utilizator devine, dacă este prost securizată, liftul privat al atacatorului.
ZF a scris recent, în contextul ProVision Security Day 2026, că AI-ul schimbă regulile jocului atât pentru atacatori, cât și pentru apărători. Cazul Meta arată perfect această dublă natură. AI-ul poate reduce timpii de suport și poate face recuperarea conturilor mai ușoară. Dar același AI, dacă primește prea multă autonomie și prea puține verificări, poate deveni asistentul perfect pentru cine nu trebuie.
Când a reacționat Meta: problema ar fi fost închisă după weekendul atacurilor
Incidentul a fost semnalat public în weekendul de la finalul lunii mai, iar relatările principale au apărut la începutul lunii iunie 2026. TechCrunch a scris că Andy Stone, purtător de cuvânt al Meta, a transmis că problema a fost remediată. The Guardian a relatat, de asemenea, că Meta securizează conturile afectate.
Rămâne însă o întrebare importantă: câte conturi au fost compromise? Până la momentul relatărilor publice, Meta nu a oferit o cifră clară. Iar lipsa cifrelor lasă spațiu pentru incertitudine. Poate vorbim despre zeci de conturi. Poate despre mai multe. În astfel de cazuri, diferența contează, mai ales pentru o platformă cu peste un miliard de utilizatori activi la nivel global.
Este relevant și faptul că utilizatorii afectați au reclamat, potrivit relatărilor din presă, dificultăți în recuperarea conturilor după atac. Aici ironia se transformă în frustrare: botul ar fi ajutat atacatorii să intre, dar nu i-ar fi ajutat la fel de bine pe proprietarii reali să revină.
Pentru Meta, acesta este un test de încredere. Compania a investit masiv în AI și încearcă să o integreze în tot mai multe produse, de la Facebook și Instagram până la avataruri, asistenți conversaționali și instrumente pentru creatori. Dar un AI care promite ajutor trebuie să fie mai mult decât rapid. Trebuie să fie previzibil, auditabil și greu de păcălit.
De ce contează: AI-ul de suport nu poate sta singur lângă butoanele roșii
Cazul Meta este o lecție pentru toată industria tech: nu orice problemă se rezolvă punând un chatbot în față. Suportul pentru utilizatori este un caz bun pentru automatizare atunci când vorbim despre întrebări simple, ghidare prin setări sau explicații generale. Devine mult mai sensibil când botul poate schimba adrese de e-mail, reseta parole sau modifica accesul la cont.
Aici apare diferența dintre un chatbot simpatic și un agent cu privilegii. Primul îți spune unde găsești setarea. Al doilea poate apăsa butonul. Iar când butonul schimbă proprietarul unui cont, botul trebuie tratat ca un angajat cu acces la seif, nu ca o fereastră de chat colorată.
Pentru utilizatori, măsurile de bază rămân esențiale: parolă unică pentru Instagram, autentificare în doi pași, protejarea adresei de e-mail asociate contului și atenție la orice notificare de schimbare a datelor de acces. Ideal, autentificarea în doi pași ar trebui făcută printr-o aplicație dedicată sau cheie de securitate, nu doar prin SMS.
Pentru companii, mesajul este mai dur. Dacă implementezi automatizare AI în procese sensibile, trebuie să ai verificări independente, limite clare, jurnalizare completă și escaladare rapidă către oameni. Altfel, transformi suportul într-un fast-food pentru atacatori: rapid, deschis non-stop și prea ușor de comandat.
Meta a rezolvat, potrivit declarațiilor publice, problema punctuală. Dar cazul rămâne important pentru că arată unde se mută următoarea frontieră a securității online. Nu mai trebuie protejate doar parolele și serverele. Trebuie protejate și conversațiile cu sistemele AI care au voie să ia decizii.
În final, incidentul nu spune că AI-ul nu are ce căuta în suport. Spune că AI-ul nu trebuie lăsat singur lângă butoanele roșii. Pentru că, uneori, hackerul nu trebuie să spargă sistemul. Trebuie doar să îl convingă politicos.