Hackers namen Instagram-accounts over door Meta AI nieuw wachtwoord te vragen

Hackers konden afgelopen maanden de Instagram-accounts van veel gebruikers overnemen door een nieuw wachtwoord te vragen aan Meta AI. Meta zegt dat het de aanval via de AI-chatbot heeft gefikst.

De aanval werkte door een vpn op te zetten vanuit de regio van de gebruiker om vervolgens via wachtwoord vergeten hulp te vragen van de AI-chatbot die Meta inzet om gebruikers te helpen op Instagram. Vervolgens vroegen de aanvallers om het mailadres van het account te wijzigen, meldt 404 Media.

Dat werkt, omdat Meta de chatbot zo heeft ingesteld dat die actief kan helpen bij problemen, zoals het niet meer hebben van toegang tot het account. Nadat de aanvallers de mail hadden overgezet, begonnen ze met het resetten van het wachtwoord, een proces dat via het mailadres verloopt. Daarna kregen ze toegang tot het account.

De aanvallers hadden het vooral voorzien op accounts met aantrekkelijke gebruikersnamen van een, twee, drie of vier karakters. Die toegang konden ze vervolgens verkopen. Meta zegt dat het de kwetsbaarheid heeft gefikst, al is onduidelijk hoe dat precies is verholpen.

Meta AI geeft hackers toegang tot Instagram-accounts
Meta AI geeft hackers toegang tot Instagram-accounts

Door Arnoud Wokke

Redacteur Tweakers

02-06-2026 • 20:12

36

Submitter: AnonymousGerbil

Reacties (36)

Sorteer op:

Weergave:

Veel klanten hebben gedoe gehad, maar geen grote problemen. Het blijft opmerkelijk dat de grote tech bedrijven geen goede support hebben. Altijd onder de noemer scam, veiligheid bla bla bla.
In dit geval juist geweldige support. Hartstikke behulpzaam!
Ik was 10 jaar mijn wachtwoord van mijn Instagram kwijt tot een hacker ineens het herstel via SMS activeerde en mijn telefoonnummer nog in mijn Instagram account stond. Ineens kon ik mijn wachtwoord resetten per SMS en ik had mijn Instagram account terug. Dank je wel nare hacker...

Wel gelijk even een MFA erop gezet :)
Ik verwacht dat als je een password reset uitvoert, ook de MFA token een reset krijgt...
Nee, als dat zou werken dan heeft de hele MFA geen waarde.
Een kennis zijn pagina was gehacked en vanwege misbruik offline gehaald maar na vele pogingen het te herstellen komt het niet meer goed.
In werkelijkheid alleen eerder een gevalletje geld en veel te veel vertrouwen in de eigen processen. Sommige bedrijven hebben zelfs helemaal geen echte support meer, denk aan Microsoft, waar dan ook regelmatig klanten tussen wal en schip vallen.
Sommige bedrijven hebben zelfs helemaal geen echte support meer, denk aan Microsoft
Bedrijfsmatig is dat niet mijn ervaring. Al meerdere keren contact gehad tot aan video sessies toe om problemen te verhelpen. Eerste lijns én tweede lijns.
Ja ik ook wel, het zijn de grote die verstoppertje spelen.
Ik zou niet eens weten hoe ik Google moet bereiken met problemen met de mailbox..
Vraag registreren op een of ander forum, waar vervolgens 300 vrijwilligers (andere gebruikers) en 1 of 2 Google admins voor Google de vragen proberen te beantwoorden.

Ik wou dat verantwoordelijkheid voor support bij ons bedrijf zo eenvoudig was weg te duwen naar andere gebruikers... (Ja dit is sarcastisch, dit lijkt me niet gezond).

[Reactie gewijzigd door mac1987 op 3 juni 2026 03:28]

Instagram is te druk bezig de accounts van bepaalde mensen, vooral fotografen en modellen te vernietigen, waarschijnlijk past dat niet in hun Sharia, het is overduidelijk dat de huidige censuur moderatie niet deze is van Europese waarden/oorsprong, geweld en bullying mag wel, ook overduidelijk. IG is de weg kwijt, ze verliezen liever klanten (betalers) dan es normaal te doen. Voor wie vraagt men zich soms wel af.
En telegram@thecomfeed is een geldig mailadres?
In theorie wel. thecomfeed. bestaat natuurlijk niet als domain in de root, maar het zou wel gebruikt kunnen worden als email. Beetje alsof je telegram@nl zou gebruiken. nl. is ook gewoon een domein, de punt erachter geeft eigenlijk de root zone aan. Die laten we vrijwel altijd achterwege, maar aan de DNS kant is het domein van tweakers bijvoorbeeld eigenlijk "tweakers.net."

Alleen moet je dan wel de beheerder van het nl. domein overtuigen om mail records toe te voegen die naar jouw mailserver wijzen, dus in de praktijk zal dat nooit gebeuren.

[Reactie gewijzigd door Ghoelian op 3 juni 2026 10:24]

Dat snap ik, maar in dit screenshot wordt thecomfeed genoemd. Dat lijkt mij geen geldige TLD.
Nee, maar zoals ik zei, het is wel een geldig email adres. De eerste stap van een adres valideren is gewoon de tekst checken of het een email kan zijn, en dat kan in dit geval. De tweede stap is een mail sturen om te checken dat het ook echt bestaat, maar deze chatbot zat natuurlijk niet in een e-mailadres-update-flow, dus dat is niet gebeurt.
Had vandaag wel een E-mail ontvangen van Instagram m.b.t. een recovery code voor voor het account, zal wel niet toevallig zijn. :+ afijn verder niks van gemerkt.

Overigens is dat een vers E-mail adres recentelijk gemaakt en dus niet elders bekend, kan dus enkel van Instagram zelf komen in deze.

[Reactie gewijzigd door CriticalHit_NL op 2 juni 2026 20:45]

Dit soort pogingen tot accountovername komen vaker voor. Ik krijg ook wel eens berichten met een eenmalige login code. Dat is blijkbaar een methode om in te kunnen loggen zonder wachtwoord.
Zonder verdere verificatie? Dan hebben ze bij Meta toch wel flink zitten slapen.
Alle misbruikte accounts hadden geen MFA actief...
Wat is die verstuurde code 34294171 dan?
Dat is gewoon een code om te bevestigen dat je eigenaar bent van het nieuwe e-mailadres. Geen MFA.
Aha, dan is mij dat niet duidelijk geworden uit het artikel, my bad.
hmm je hebt een punt. MFA via mail dan... Bij kan je dat nog mfa noemen... bij mij heb je toch al zeker een TOTP code nodig ook.
Ik ben ook van mening dat email en SMS niet de meest geschike MFA methoden zijn maar goed, het is wel MFA.
Bor Coördinator Frontpage Admins / FP Powermod @xxs3 juni 2026 07:49
Het is pas Multi Factor Authenticatie wanneer je meerdere factoren gebruikt zoals een wachtwoord en een one time password. In dit geval weet men het wachtwoord niet maar kan men het resetten met alleen een link in de mail die men zelf onder controle heeft.

Hoe is dat nog multi factor?
Ja, je kan hierin heel ver gaan natuurlijk.

Op zakelijk vlak gebruik ik wel bij 3de partijen MFA via mail adres, liever dan verificatie via sms, that's for sure. Maar dat mail adres is voor mij alleen toegankelijk na een verificatie via een Yubikey, die ik moet inpluggen op de usb poort, vervolgens de pincode moet opgeven en ook nog eens fysiek de touch sensitive sensor moet aanraken voordat ik in die mailbox kom, dus...is misschien niet perfect bij de 3rd party, maar wel zo gecovered dat het iig aan mijn kant praktisch niet te kraken valt.

Verder hebben we ook inderdaad vaak genoeg TOTP codes nodig bij andere 3rd parties, maar naar mijn idee denken mensen vaak dat ze daar mee te maken hebben, terwijl ze eigenlijk een simpele code generator voor zich hebben. Beiden kunnen een code genereren om de zoveel tijd, maar alleen de TOTP code verloopt daadwerkelijk nadat hij een nieuwe genereert. Als ik bijvoorbeeld bij Ziggo inlog en hij vraagt om een code, kan ik die code noteren, 5 minuten later inloggen met die code van 5 minuten terug en dat werkt gewoon.

Een soort van TOTP is de Temporary Access Pass in Entra/azure van Microsoft. Je kan het instellen dat ie maar 1 keer gebruikt kan worden en dat ie maar een bepaalde tijd geldig is, gebruiken wij voor wanneer nieuwe collega's beginnen en ze hun MFA op de telefoon nog moeten configureren. Dat zorgt ervoor dat we ze niet op de MFA exclusion list hoeven te zetten bijvoorbeeld. Scheelt weer een human error.

[Reactie gewijzigd door Pim0377 op 2 juni 2026 21:25]

Een wachtwoord reset is puur een fallback van het 'gebruiksvriendelijke' wachtwoord invoeren naar een alternatief voa sms of email.

Mfa is als je 'beiden' nodig hebt, wat hier dus niet het geval is. Met mfa zou je eerst je ww resetten en de mail code invoeren en daarna nog een totp doen om dit te bevestigen, wat hier dus niet het geval is
Ik heb iets anders gelezen. Weet even niet meer waar, maar schijnbaar had de ai-support bot toegang tot een tool die het password kon resetten buiten MFA om. Of op zijn minst het gekoppelde mailadres veranderen.

[Reactie gewijzigd door aldieaccounts op 2 juni 2026 21:51]

Benieuwd of dit 1 van de 60 ingediende vulnerabilities van ZDI is die openstaan bij Meta https://www.zerodayinitiative.com/advisories/upcoming/
Ik was toevallig vorige week ineens mn FB account kwijt. Mail en 06 gereset. En daarna bekijk het maar. Niet meer terug te krijgen, meta onbereikbaar.

Dus gewoon gevalletje weg.. die ai toonsoort werken niet..

20 tekens wachtwoord en 2fa. Ik ben wel benieuwd hoe ze het geflikt hebben...
Met andere woorden er is gewoon 0 encryptie😂😂😂
Dit "hacken" noemen is natuurlijk wel een beetje vreemd.

Een bug abuser is niet hetzelfde als een hacker.
Een hacker is iemand die de beveiliging omzeilt om toegang te krijgen. De meeste systemen worden gehackt dankzij bugs, dus dat zouden volgens jou dan allemaal geen hackers zijn?

Op dit item kan niet meer gereageerd worden.