अब तक देखा गया सबसे मूर्खतापूर्ण Instagram “exploit”

Exploit और तात्कालिक प्रभाव

  • हमलावर Instagram के AI support agent को यह यकीन दिला सकते थे कि वह account-recovery codes एक arbitrary email पर भेज दे, जो apparently उन्होंने सही region में होने का नाटक करके किया (जैसे VPN के जरिए)।
  • एक बार email बदल जाने के बाद, वे password reset कर सकते थे, existing sessions revoke कर सकते थे, और original owner को lock out कर सकते थे।
  • High-value और short usernames को target किया गया; कुछ commenters बताते हैं कि वे इसकी चपेट में आए, और access वापस पाने में सफलता मिली या नहीं, इस पर mixed reports हैं।
  • Thread में कम-से-कम एक video demo और कई independent reports का हवाला दिया गया है; शुरुआती skepticism कुछ “यह सच में हुआ” में बदल जाता है।

2FA और recovery: असली कमजोर कड़ी

  • कई लोगों का तर्क है कि support और recovery flows हमेशा soft spot रहे हैं, भले ही human agents हों; support की social engineering लंबे समय से 2FA को bypass करती रही है (SIM swaps, registrar hijacks, आदि)।
  • कुछ लोग कहते हैं कि इस exploit ने 2FA को पूरी तरह bypass किया; दूसरे जवाब देते हैं कि जिन accounts पर कोई MFA थी, उन पर यह fail हुआ और सबसे high-value accounts के लिए अलग, paid 2FA-bypass services का उपयोग किया गया। exact behavior स्पष्ट नहीं है।
  • यह व्यापक frustration भी है कि low-level support (human या AI) 2FA को remove या override कर सकता है, जिससे इसकी security value कम हो जाती है।

AI बनाम “सिर्फ खराब design”

  • एक पक्ष: यह मुख्यतः account-recovery design की catastrophic खराबी है; AI ने बस वही automate किया जो कोई gullible support rep कर सकता था।
  • दूसरा पक्ष: AI असल में central है — यह अधिक suggestible है, attacks को scale करता है, इसमें वास्तविक judgment नहीं होता, और इसे trained humans के लिए बनाए गए tools बिना नए guardrails के दे दिए गए।
  • कई लोग इसे “vibe-coded” AI मानते हैं: high-privilege tools को एक LLM से जोड़ा गया, और threat modeling या end-to-end tests लगभग नहीं थे।

Meta की security culture की आलोचना

  • कड़ी आलोचना कि एक trillion-dollar कंपनी ने इतना करीब “zero-auth” reset flow ship ही कैसे कर दिया, और security से या तो सलाह नहीं ली गई या उसे override कर दिया गया।
  • कुछ लोग नोट करते हैं कि Instagram security में historically sophisticated flows थे, इसलिए यह regression खास तौर पर चौंकाने वाला है।
  • अन्य लोग कहते हैं कि moderation और support के लिए Meta का व्यापक AI की ओर रुझान पहले ही बहुत-सी wrongful bans और opaque, unfixable decisions ला चुका है।

सुझाए गए विकल्प और mitigations

  • सुझाए गए विचार: high-value accounts के लिए stricter flows; opt-in “no recovery without 2FA/passkey” mode; multi-channel notifications के साथ लंबी delays; physical या notarized identity checks; trusted contacts; verified accounts के लिए government IDs या digital ID का बेहतर उपयोग।
  • कई commenters का तर्क है कि किसी भी AI agent को पूरी तरह untrusted माना जाना चाहिए, default-deny tools, कड़े access scopes, और public APIs जैसी robust testing के साथ।