Ako prísť o Instagram za pár sekúnd: hackeri oklamali Meta AI podporu

Hackeri údajne zneužili AI podporu Mety na prevzatie instagramových účtov. Prípad ukazuje riziko, keď chatbot dostane prístup k citlivým nástrojom obnovy hesla bez dostatočnej kontroly človeka.

Instagram riešil bezpečnostný problém, pri ktorom sa útočníkom údajne podarilo prevziať viacero účtov cez AI podporu Mety. Nešlo o klasické prelomenie hesla, phishing ani škodlivú aplikáciu. Podľa zverejnených informácií mala slabina spočívať v tom, že AI chatbot podpory dokázal vykonať citlivú zmenu v účte bez dostatočného overenia skutočného vlastníka.

Ako sa z podpory stal problém

Meta AI Support Assistant mal používateľom pomáhať s obnovou účtu a bezpečnostnými problémami. Práve to je však citlivá oblasť. Ak má chatbot možnosť meniť kontaktné údaje, spúšťať obnovu hesla alebo zasahovať do prístupu k účtu, nejde už iba o poradcu, ale o nástroj s reálnou mocou.

Podľa správ útočníci presvedčili AI podporu, aby k cieľovému účtu priradila novú e-mailovú adresu a následne umožnila zmenu hesla. Dôležité je, že útok nemal vyžadovať prístup k pôvodnej e-mailovej schránke obete. To je podstatný rozdiel oproti bežným scenárom prevzatia účtu.

Z bezpečnostného pohľadu je problém v delegovaní rozhodovania. Chatbot môže byť užitočný pri navigácii používateľa, no pri zmenách identity, e-mailu, telefónneho čísla alebo hesla by nemal mať posledné slovo bez prísnych kontrol.

Zasiahnuté mali byť aj známe účty

Na problém upozornili používatelia Redditu, X a bezpečnostní výskumníci. Medzi kompromitovanými účtami sa spomínal aj účet bývalého Bieleho domu z éry Baracka Obamu, účet vysokého predstaviteľa amerických vesmírnych síl a ďalšie známe profily.

Bezpečnostná výskumníčka Jane Manchun Wong uviedla, že jej účet bol tiež prevzatý a že zaznamenala opakované pokusy o obnovu hesla. Instagram následne informoval, že problém bol opravený, no počet zasiahnutých používateľov nebol zverejnený.

Odporúčame

Dôležité Biznis 1. júna 2026

Meta spúšťa predplatné pre Instagram, Facebook a WhatsApp. Pridá aj tarify Meta One

Meta zavádza platené balíky pre Instagram, Facebook a WhatsApp. Plus plány pridávajú nové funkcie, zatiaľ čo Meta One pripraví tarify pre AI aj tvorcov a firmy.

5 min 0

Software 26. apríla 2026

Meta zjednocuje prihlasovanie: Účty a nastavenia aplikácií sa presúvajú pod jeden profil

Meta predstavila inovovaný Meta Účet. Novinka používateľom prináša centralizované prihlasovanie, jednoduchšiu správu nastavení a zvýšenú bezpečnosť pre aplikácie ako Facebook, Instagram či inteligentné okuliare.

2 min 0

Prečo je to nebezpečné

Tento prípad ukazuje slabinu, ktorá nevzniká len v kóde, ale v návrhu procesu. Firmy dnes často nasadzujú AI podporu s cieľom zrýchliť riešenie problémov a znížiť náklady. Ak však chatbot dostane prístup k rozhodnutiam, ktoré môžu zmeniť vlastníctvo účtu, riziko rastie.

Problém nie je v tom, že AI odpovedá používateľovi. Problém je v tom, že AI môže konať. Pri bežnej podpore môže zlá odpoveď používateľa zmiasť. Pri podpore s právomocami môže zlá odpoveď odovzdať účet útočníkovi.

404 Media upozornilo, že Meta v minulosti prezentovala AI podporu ako systém, ktorý má prinášať „riešenia, nie iba návrhy“ pri bezpečnosti účtu a obnove prístupu. Práve takýto prístup však vyžaduje prísnejšie pravidlá, audit a ľudskú kontrolu pri rizikových krokoch.

AI nesmie obísť bezpečnostné pravidlá

Pri správe účtov by mala platiť jednoduchá zásada: AI môže pomáhať, ale nesmie obchádzať bezpečnostné mechanizmy. Ak používateľ mení e-mail, telefón, heslo alebo obnovovacie údaje, systém musí overiť pôvodného vlastníka cez nezávislý kanál.

Nestačí, aby útočník chatbotovi dodal nový kontakt a potvrdil kód, ktorý dostal on sám. Bezpečný systém musí chrániť existujúceho vlastníka, nie iba dokončiť konverzáciu s tým, kto práve píše podpore.

Pre firmy je to varovanie. AI zákaznícka podpora môže zvládnuť jednoduché otázky, návody, vyhľadávanie v pravidlách alebo navigáciu používateľa. Nemala by však samostatne rozhodovať o prevode kontroly nad účtom.

Čo môžu urobiť používatelia

Používatelia by si mali skontrolovať priradený e-mail, telefónne číslo, aktívne relácie a bezpečnostné nastavenia Instagramu. Dôležité je mať zapnuté dvojfaktorové overenie a používať autentifikačnú aplikáciu alebo bezpečnostný kľúč, ak je dostupný.

Zároveň treba sledovať všetky upozornenia o zmene hesla, e-mailu alebo prihlásenia. Ak príde nečakaná správa o obnove účtu, netreba ju ignorovať. Pri podozrení je vhodné okamžite zmeniť heslo, odhlásiť cudzie zariadenia a skontrolovať prepojené účty.

Treba však povedať aj to nepríjemné: ak chyba vznikne priamo v podpore platformy, samotný používateľ sa nevie úplne ochrániť. Zodpovednosť je vtedy najmä na prevádzkovateľovi služby.

Poučenie pre Meta aj celý trh

Incident s Instagramom je ďalším príkladom toho, že automatizácia podpory má hranice. Keď firmy presunú príliš veľa právomocí na AI, znižujú síce záťaž ľudí v podpore (a hlavne znižujú náklady na ľudské zdroje), ale zároveň vytvárajú nový bod zlyhania.

Citlivé úkony by mali mať viacvrstvové overenie, oneskorenie pri zmene dôležitých údajov, spätné upozornenie pôvodnému kontaktu a možnosť rýchleho zásahu človeka. Pri vysokorizikových účtoch by mala byť ľudská kontrola povinná.

AI môže byť užitočný nástroj, ale nie náhrada za bezpečnostnú zodpovednosť. Prípad Instagramu ukazuje, že keď chatbot dostane právomoci bez dostatočných bŕzd, používateľ môže prísť o účet nie pre vlastnú chybu, ale pre chybu systému, ktorému dôveroval.