Meta 旗下 Meta AI 客服助手「High Touch Support(HTS)」於 2026 年 4 月 17 日至 5 月底期間存在嚴重程式漏洞,被黑客大規模利用以重置 Instagram 用戶密碼,受影響帳戶多達約 20,225 個。事件波及奧巴馬白宮官方帳號、美妝品牌 Sephora、美國太空軍總軍士長 John Bentivegna 等高知名度帳號,部分短字符 ID 更於黑市 Telegram 群組中以高達 100 萬美元叫售。
漏洞如何運作?
據悉,問題出在 HTS 工具的帳號恢復機制——原本係為「無法訪問原綁定電郵的用戶」設計的應急功能,但另一條代碼路徑存在錯誤。Meta 在通知中承認:「當有人提供一個與帳戶之前未關聯的電郵地址時,系統錯誤地將密碼重置連結發送到該未關聯電郵地址。」
換言之,黑客只需用 VPN 偽造與目標用戶相同的地理位置,再透過越獄提示詞(jailbreak prompt)誘導 AI 客服,將密碼重置連結發送至自己控制的電郵,即可繞過雙重身份驗證接管帳戶,全程不需要原密碼或原電郵。
被盜帳戶中以「短字符用戶名」最值錢,因具備品牌辨識度,買家通常係網紅、加密貨幣項目方或品牌推廣方,透過 Telegram 群組以加密貨幣(USDT、BTC)交收。
Meta 已於 5 月 29 日緊急修補漏洞,5 月 31 日正式停用 HTS 工具並註銷所有已生成的密碼重置連結,同時向美國緬因州總檢察長辦公室提交數據洩露通知。HTS 工具目前暫停服務,如遇帳戶問題只能透過 Instagram Help Center 提交表單處理。
4 大自保攻略 用戶必做
Meta 已確認,本次攻擊對已啟用雙重驗證(2FA)的帳戶完全無效,以下 4 步可大幅降低風險:
啟用雙重身份驗證(2FA):路徑為 Instagram App >「設定和私隱」>「帳戶中心」>「密碼和保安」>「雙重身份驗證」,建議優先選擇 Authenticator App(如 Google Authenticator),而非 SMS,以防 SIM 卡劫持攻擊
設定 Passkey 通行密鑰:Instagram 已支援以 Face ID 或 Touch ID 取代傳統密碼,伺服器端從不儲存可被破解的密碼,路徑為「密碼和保安」>「通行密鑰(Passkey)」
檢查活躍登入裝置:進入「你的帳戶登入位置」,如發現陌生裝置或非本地 IP,立即登出並修改密碼
綁定非公開電郵 + 啟用登入通知:避免使用可被枚舉的公開電郵,並於「登入通知」設定中開啟陌生裝置即時提醒
值得注意的是,若 Instagram 帳戶已與 Facebook 或 WhatsApp 帳戶關聯,理論上面臨更大範圍的安全風險。今次事件同時揭示 AI 客服全面取代人工客服的潛在隱患——任何 AI 工具上線前若未經充分的對抗測試(Red Team Testing),隨時成為下一個漏洞缺口。
Source:404 Media、Dark Web Informer