
Meta 旗下名为 HTS 的人工专项客服工具,原本用于帮助 Instagram 用户找回被封禁账号:用户只需提供一个邮箱地址,就能收到密码重置链接。本次漏洞原理十分简单:该工具不会校验提交的邮箱是否确实属于待找回账号。只要受害者未开启双重认证,任何人都能为任意账号申请重置链接,链接会直接发送至攻击者自己的邮箱,随后攻击者便可直接登录账号。
该漏洞暴露窗口期大致为 2026 年 4 月 17 日至 6 月初 Meta 紧急下线该工具,漏洞放任存在约七周,而 Meta 直至 5 月 31 日才发现问题。在公司内部人员察觉前,攻击者已利用漏洞持续作案六周之久,这一关键细节往往会被新闻标题里的受影响账号数量掩盖。
Meta 披露,攻击者利用该漏洞共计劫持 20225 个 Instagram 账号。
Meta 向缅因州总检察长办公室提交的数据泄露告知书写道:“本函特此通知,Instagram 账号恢复支持工具存在一处安全漏洞,不法分子借此可能侵害了你辖区内 30 名用户的 Instagram 账号安全。目前所有涉事账号均已加固防护,杜绝后续未授权访问行为。”
漏洞攻击逻辑清晰易懂:HTS 工具会直接向申请人填写的任意邮箱发送密码重置链接,完全不会和账号实际注册邮箱做交叉比对。攻击者通过该方式重置密码后,账号原主人会直接被踢出登录。攻击者可完整获取账号全部数据:联系方式、出生日期、私信、发帖、限时动态、账号操作记录、个人主页信息,以及所有绑定的第三方外部服务,并非局部信息泄露,而是整号完全沦陷。
告知书补充说明:“2026 年 5 月 31 日,Meta 发现 Instagram 人工智能辅助账号找回系统(即高触感支持工具 HTS)存在漏洞,第三方不法分子借此非法重置多名用户的 Instagram 账号密码。即便申请人填写的邮箱从未与目标账号绑定,系统仍错误地向该陌生邮箱下发重置链接,而非拒绝本次找回申请。这使得第三方人员能够获取不属于自己账号的密码重置链接。若账号持有者未开启双重认证(2FA),攻击者重置密码后即可登录账号。”
漏洞曝光后 Meta 迅速处置:全面关停 HTS 工具、作废所有通过漏洞渠道生成的重置链接、为全部潜在受害账号强制开启安全核验关卡,要求所有受影响用户强制重置密码并重新完成身份核验。
事后复盘,修复方案逻辑简单,却暴露低级疏漏:生成重置链接前,必须校验提交邮箱与账号备案邮箱一致,这项基础校验本该在工具上线之初就部署到位。Meta 同时启动全平台同类账号找回流程全面自查,说明企业自身也无法确定仅有 HTS 这一款工具存在同类身份校验缺陷。
关于用户通知事宜,Meta 提交的文件措辞十分谨慎:“Meta 将尽快向潜在受害用户推送事件通知,告知本次安全事故,建议用户核查账号安全设置并开启双重认证。”
Meta 计划逐一通知受影响用户,引导其检查安全设置、开启双重认证。加州总检察长罗布・邦塔联合其他 39 个州总检察长联名敦促 Meta 强化防账号劫持防护能力,称其现有安全措施力度不足。
这并非 Meta 首次因数据安全问题遭监管追责。2018 年 Facebook 数据泄露事件导致 2900 万账号信息外泄,爱尔兰监管机构对其处以 2.64 亿美元罚款;2022 年,因未能防范爬虫窃取用户数据,再罚 2.65 亿欧元;另有 9100 万欧元罚款,源于其以明文形式存储数亿用户密码。
本次 HTS 漏洞事件又新增一桩安全劣迹:一款部署在高安全场景、拥有账号高权限操作能力的 AI 客服工具,缺失最基础的身份核验逻辑。该工具初衷是帮助用户找回账号,到头来却成了不法分子盗号的便捷通道。
夜雨聆风