Des pirates informatiques ont exploité le chatbot d'assistance par IA de Meta pour prendre le contrôle de comptes Instagram en le manipulant afin qu'il modifie les adresses e-mail associées. La vulnérabilité permettait de réinitialiser les mots de passe sans authentification à deux facteurs après avoir fait correspondre les localisations via un VPN. Meta a résolu le problème avec un correctif d'urgence le 29 mai.
L'exploit consistait à lancer une réinitialisation de mot de passe et à demander au chatbot de mettre à jour l'adresse e-mail des comptes visés. Des chercheurs en sécurité ont rapporté que cette méthode était active depuis février et largement discutée sur Telegram depuis mars. Parmi les comptes à forte visibilité compromis figurent celui de la Maison Blanche de Barack Obama, qui a publié des images pro-iraniennes, ainsi que le compte du Chief Master Sergeant of Space Force, aux côtés d'autres comme Sephora et des noms d'utilisateurs courts évalués à plus d'un million de dollars sur le marché gris.
