Meta heeft bevestigd dat meer dan 20.000 Instagram-accounts zijn gekaapt nadat aanvallers misbruik maakten van een kwetsbaarheid in een AI-supportsysteem. Het incident laat opnieuw zien dat kunstmatige intelligentie niet alleen nieuwe mogelijkheden biedt voor klantenservice, maar ook nieuwe risico’s introduceert wanneer automatische systemen te veel bevoegdheden krijgen.
De aanval draaide om Meta’s zogenoemde High Touch Support-tool, een AI-ondersteund systeem dat gebruikers moet helpen wanneer zij geen toegang meer hebben tot hun Instagram-account. Volgens berichtgeving van BleepingComputer konden aanvallers het systeem misleiden bij het aanvragen van wachtwoordherstel. De kwetsbaarheid zat vooral in het ontbreken van een goede controle of het opgegeven e-mailadres daadwerkelijk bij het betreffende Instagram-account hoorde. Daardoor konden kwaadwillenden resetlinks verkrijgen en accounts overnemen, vooral wanneer geen tweefactorauthenticatie was ingesteld.
De zaak kwam aan het rollen nadat meerdere getroffen gebruikers op sociale media meldden dat zij plotseling geen toegang meer hadden tot hun account. Ook hoogprofielaccounts zouden doelwit zijn geweest. Eerder meldden onder meer The Verge en BleepingComputer dat aanvallers Meta’s AI-support konden overtuigen dat zij de rechtmatige eigenaar waren, waarna accountgegevens werden aangepast of resetlinks werden verstuurd.
Aantal getroffen Instagram-gebruikers
Meta-topman Andy Stone, verantwoordelijk voor communicatie bij het bedrijf, liet eerder weten dat het probleem was opgelost en dat getroffen accounts werden beveiligd. In een melding aan het kantoor van de procureur-generaal van de Amerikaanse staat Maine verklaarde Meta dat het op 31 mei 2026 ontdekte dat een kwetsbaarheid in het AI-ondersteunde herstelproces van Instagram was misbruikt. Volgens die melding werden in Maine dertig accounts mogelijk getroffen, maar het totale aantal getroffen Instagram-gebruikers ligt volgens de berichtgeving boven de 20.000.
Meta zegt niet zeker te weten welke gegevens door de aanvallers zijn ingezien. Wel konden kwaadwillenden mogelijk toegang krijgen tot contactgegevens, geboortedata, foto’s, video’s, stories, privéberichten, accountactiviteit, profielinformatie en gekoppelde diensten. Na ontdekking van het incident schakelde Meta het betrokken supportsysteem uit en werden eerder gegenereerde wachtwoordresetlinks ongeldig gemaakt. Getroffen accounts zijn bovendien in een verplichte beveiligingscontrole geplaatst, waarbij gebruikers opnieuw hun wachtwoord moesten instellen en zich opnieuw moesten aanmelden.
Extra gevoelig
Voor Meta is het incident extra gevoelig omdat het bedrijf al vaker onder vuur lag vanwege databeveiliging. Ierland legde Meta eerder een boete op van 251 miljoen euro voor een Facebook-datalek uit 2018 waarbij gegevens van ongeveer 29 miljoen accounts werden geraakt. Ook kreeg Meta in 2022 een boete van 265 miljoen euro wegens onvoldoende bescherming tegen datascraping en in 2024 een boete van 91 miljoen euro voor het onveilig opslaan van wachtwoorden.
De kwestie onderstreept een bredere les voor technologiebedrijven: AI-systemen die toegang hebben tot gevoelige accountfuncties moeten niet alleen slim, maar vooral streng begrensd zijn. Wanneer een chatbot wachtwoorden kan laten resetten of e-mailadressen kan wijzigen, wordt een fout in de controle direct een beveiligingsrisico. Voor gebruikers blijft tweefactorauthenticatie belangrijk, maar dit incident maakt duidelijk dat ook sterke platformbeveiliging onmisbaar is.