उपकरण स्वयं ठीक से काम करता है और इच्छानुसार कार्य करता है; हालाँकि, एक अलग कोड पथ में बग के कारण, सिस्टम ने ठीक से सत्यापित नहीं किया कि पासवर्ड रीसेट का अनुरोध करने वाले व्यक्ति द्वारा प्रदान किया गया ईमेल पता उस उपयोगकर्ता के इंस्टाग्राम खाते से जुड़े ईमेल पते से मेल खाता है। परिणामस्वरूप, जब किसी व्यक्ति ने एक ईमेल पता प्रदान किया जो पहले खाते से जुड़ा नहीं था, तो सिस्टम ने अनुरोध को अस्वीकार करने के बजाय उस असंबद्ध ईमेल पर गलत तरीके से एक पासवर्ड रीसेट लिंक भेज दिया। इसने अनधिकृत तृतीय पक्षों को उन खातों के लिए पासवर्ड रीसेट लिंक प्राप्त करने की अनुमति दी जो उनके पास नहीं थे।
मेटा का कहना है कि हमला पहली बार 31 मई को मेटा संचार प्रमुख एंडी स्टोन पर सामने आया था कंपनी कह रही है 1 जून को घटना का “समाधान” हुआ। इस दौरान, कई हाई-प्रोफाइल इंस्टाग्राम अकाउंट प्रभावित हुए, जिनमें पूर्व राष्ट्रपति बराक ओबामा का पुराना व्हाइट हाउस अकाउंट, यूएस स्पेस फोर्स के चीफ मास्टर सार्जेंट जॉन एफ. बेंटिवेग्ना और सेफोरा शामिल थे। नोटिस में, मेटा ने कहा कि उसे इस बात की जानकारी नहीं है कि शोषण के परिणामस्वरूप किसी व्यक्तिगत डेटा तक पहुंच बनाई गई थी या नहीं, लेकिन ध्यान दें कि खाता अपहर्ताओं ने ईमेल पते, फोन नंबर, जन्मतिथि, सोशल मीडिया पोस्ट, प्रत्यक्ष संदेश, प्रोफ़ाइल जानकारी, खाता गतिविधि और जुड़े खाते प्राप्त किए होंगे।
नोटिस में कहा गया है कि प्रभावित उपयोगकर्ताओं में से 30 मेन में रहते थे। यह संख्या “उन उपयोगकर्ताओं को संदर्भित करती है जिनके पासवर्ड समर्थन टूल के माध्यम से रीसेट किए गए थे, उनके खाते पर 2FA सक्षम नहीं था और जिनके इंस्टाग्राम खातों को संभवतः एक अनधिकृत पार्टी द्वारा एक्सेस किया गया था” – हालांकि मेटा का कहना है कि यह “ऊपरी सीमा” है, क्योंकि इनमें से कुछ खातों को वैध तरीके से एक्सेस किया गया हो सकता है।
कंपनी नोट करती है कि उसने अपने एआई सपोर्ट टूल को अक्षम कर दिया है और बगी कोड पथ को हटा दिया है, जबकि शोषण का उपयोग करके उत्पन्न किसी भी पासवर्ड रीसेट लिंक को अमान्य कर दिया है। इसने सभी संभावित रूप से प्रभावित खातों को “किसी भी खाते तक पहुंच से पहले प्रमाणीकरण की आवश्यकता वाले अनिवार्य सुरक्षा चेकपॉइंट में नामांकित किया।”
