Sistem, istediği gibi çalışsa da, ayrı bir kod yolundaki bir hata nedeniyle, parola sıfırlama talebinde bulunan kişinin sağladığı e-posta adresinin, kullanıcının Instagram hesabıyla ilişkili e-posta adresiyle eşleşip eşleşmediğini doğru bir şekilde doğrulayamadı. Sonuç olarak, birey daha önce hesapla ilişkilendirilmemiş bir e-posta adresi sağladığında, sistem yanlışlıkla bu ilişkili olmayan e-posta adresine bir parola sıfırlama bağlantısı gönderdi ve talebi reddetmedi. Bu durum, yetkisiz üçüncü şahısların sahip olmadıkları hesaplar için parola sıfırlama bağlantısı almasına olanak tanıdı.
Meta, saldırının ilk olarak 31 Mayıs’ta ortaya çıktığını ve şirketin iletişim sorumlusu Andy Stone’un 1 Haziran’da olayı “çözdüğü” bilgisini paylaştığını aktarıyor. Bu süre zarfında eski Başkan Barack Obama’nın Beyaz Saray hesabı, ABD Uzay Kuvvetleri Başsergeant John F. Bentivegna ve Sephora gibi bir dizi yüksek profilli Instagram hesabı etkilendi. Meta, açıklamasında bu olay sonucunda kişisel verilere erişilip erişilmediğine dair bir bilgisi olmadığını ancak hesap ele geçirenlerin e-posta adresleri, telefon numaraları, doğum tarihleri, sosyal medya paylaşımları, doğrudan mesajlar, profil bilgileri, hesap etkinliği ve bağlı hesaplara ulaşabilmiş olabileceğini belirtiyor.
Duyuruda, etkilenen 30 kullanıcının Maine eyaletinde yaşadığı bilgisi yer alıyor. Bu sayı, “destek aracı aracılığıyla şifreleri sıfırlanan, hesaplarında 2FA etkinleştirilmemiş ve Instagram hesaplarına muhtemel olarak yetkisiz bir taraf tarafından erişildiği” belirtilen kullanıcıları ifade ediyor; ancak Meta, bazı hesapların meşru bir şekilde erişilmiş olabileceğini dikkate alarak bunun bir “üst sınır” olduğunu ekliyor.
Şirket, sorunlu kodu kaldırdığını ve AI destek aracını devre dışı bıraktığını belirtirken, kullanımdan kaldırılan parola sıfırlama bağlantılarını da geçersiz kıldığını açıkladı. Ayrıca, potansiyel olarak etkilenen tüm hesapların, herhangi bir hesap erişimi öncesinde kimlik doğrulaması gerektiren “zorunlu bir güvenlik kontrolü” sistemine dahil edildiğini belirtti.
