Meta

前幾天，一堆 Instagram 帳號——包括像白宮帳號這種高知名度的——好像都被黑了。 我雖說不是什麼小年輕了，但在獨角獸級公司找漏洞跟開發也快十五年，但這絕對是我見過最無厘頭、「蠢到不太可能成真」的一個。 劫持流程：簡單到令人髮指 Step 01：偽造位置 + 啟動客服 攻擊者只需要你的帳號名稱就能開工。接著連上一個靠近你城市位置的 VPN 或 proxy，讓 Instagram 的安全演算法不會起疑（這個資訊從你的公開個人頁面、About 區塊，或一百種其他方式就能拿到）。一旦看起來請求來自正確的地區，攻擊者就會告訴 Meta 支援 AI 帳號被黑了，要求把驗證碼發到他們控制的任意 Email。 Step 02：就結束了 真的，就結束了。這是我在生產環境中看過的第一個真正的「零驗證密碼重置」。系統似乎不會檢查你提供的 Email 是不是使用者以前用過的。一旦 AI 把驗證碼發到攻擊者的信箱，攻擊者再把碼填回去完成驗證，平台就乖乖送上一條新密碼重置連結，帳號歸屬權直接移交。 Instagram 的 AI 可能會問攻擊者要一段自拍影片來證明身分。目前的 AI 辨識力還不太夠，所以簡單到拿目標個人動態裡一張已經公開的 AI 動畫照片就能搞定。 雙重驗證（2FA）也沒用 如果你在想，因為這個高權限恢復流程被系統視為「真正的擁有者」進行的完整帳號重置，原本的雙重驗證會在過程中被徹底繞過。 既有的工作階段會被撤銷，密碼被更改，而且不會有任何 Email、簡訊或推播通知。真正的擁有者無法再發起恢復，因為 Email 和電話號碼現在都對應到攻擊者。沒有客服人員可以升級處理，就只有你跟一個聊天機器人奮戰，希望能奪回控制權，同時祈禱對方不要再來一次。 如果你屬於 A/B 測試中 AI 支援選項啟用的帳號，更慘——你甚至關不掉它。 黑市熱鬧滾滾 多個黑市的 Telegram 群組紛紛推出「帳號劫持」服務，價格高昂但交付速度極快。考慮到短帳號可以價值數十萬到數百萬美元，這也就不令人意外了。 帳號已經被轉賣（例如 hey），被用於宣傳（例如 obamawhitehouse 或美國太空軍上士長的帳號 ocmssf）。 已經修好了 所有 Telegram 群組都安靜下來了，因為 Meta 似乎已經修復了這個問題。但這個方法似乎已經活躍了好幾週，甚至好幾個月。 一個市值 1.5 兆美元的公司竟然連基本的安全防護都沒有，他們的支援 AI 只要你開口，就會隨意更換任何人的綁定 Email——這事實本身既恐怖又搞笑。 原文：The Newest Instagram “Exploit” is the Goofiest I’ve Seen by Sid’s Blog | 2026-06-01 ...