Instagram 帳號被劫持?史上最蠢漏洞,只要帳號名稱就搞定
前幾天,一堆 Instagram 帳號——包括像白宮帳號這種高知名度的——好像都被黑了。 我雖說不是什麼小年輕了,但在獨角獸級公司找漏洞跟開發也快十五年,但這絕對是我見過最無厘頭、「蠢到不太可能成真」的一個。 劫持流程:簡單到令人髮指 Step 01:偽造位置 + 啟動客服 攻擊者只需要你的帳號名稱就能開工。接著連上一個靠近你城市位置的 VPN 或 proxy,讓 Instagram 的安全演算法不會起疑(這個資訊從你的公開個人頁面、About 區塊,或一百種其他方式就能拿到)。一旦看起來請求來自正確的地區,攻擊者就會告訴 Meta 支援 AI 帳號被黑了,要求把驗證碼發到他們控制的任意 Email。 Step 02:就結束了 真的,就結束了。這是我在生產環境中看過的第一個真正的「零驗證密碼重置」。系統似乎不會檢查你提供的 Email 是不是使用者以前用過的。一旦 AI 把驗證碼發到攻擊者的信箱,攻擊者再把碼填回去完成驗證,平台就乖乖送上一條新密碼重置連結,帳號歸屬權直接移交。 Instagram 的 AI 可能會問攻擊者要一段自拍影片來證明身分。目前的 AI 辨識力還不太夠,所以簡單到拿目標個人動態裡一張已經公開的 AI 動畫照片就能搞定。 雙重驗證(2FA)也沒用 如果你在想,因為這個高權限恢復流程被系統視為「真正的擁有者」進行的完整帳號重置,原本的雙重驗證會在過程中被徹底繞過。 既有的工作階段會被撤銷,密碼被更改,而且不會有任何 Email、簡訊或推播通知。真正的擁有者無法再發起恢復,因為 Email 和電話號碼現在都對應到攻擊者。沒有客服人員可以升級處理,就只有你跟一個聊天機器人奮戰,希望能奪回控制權,同時祈禱對方不要再來一次。 如果你屬於 A/B 測試中 AI 支援選項啟用的帳號,更慘——你甚至關不掉它。 黑市熱鬧滾滾 多個黑市的 Telegram 群組紛紛推出「帳號劫持」服務,價格高昂但交付速度極快。考慮到短帳號可以價值數十萬到數百萬美元,這也就不令人意外了。 帳號已經被轉賣(例如 hey),被用於宣傳(例如 obamawhitehouse 或美國太空軍上士長的帳號 ocmssf)。 已經修好了 所有 Telegram 群組都安靜下來了,因為 Meta 似乎已經修復了這個問題。但這個方法似乎已經活躍了好幾週,甚至好幾個月。 一個市值 1.5 兆美元的公司竟然連基本的安全防護都沒有,他們的支援 AI 只要你開口,就會隨意更換任何人的綁定 Email——這事實本身既恐怖又搞笑。 原文:The Newest Instagram “Exploit” is the Goofiest I’ve Seen by Sid’s Blog | 2026-06-01 ...