Чат-бот Meta передал аккаунты Sephora и Обамы злоумышленникам

Каждый руководитель платформы, запустивший поддержку на базе LLM, знает этот тихий страх: что произойдёт, когда модель впервые скажет «да» не тому человеку. Этот страх реализовался в Instagram. Чат-бот, который Meta внедрила во всю рекламную платформу, был обманут методами социальной инженерии: злоумышленники добились переназначения административных адресов электронной почты на аккаунтах Sephora, Барака Обамы и главного мастер-сержанта Космических сил США.

Что произошло

Как пересказал AdExchanger 2 июня, группа хакеров рассказала изданию 404 Media, как они захватили ряд высокопрофильных аккаунтов Instagram, убедив чат-бот поддержки Meta от имени ИИ в том, что являются законными владельцами. Чат-бот самостоятельно, без какого-либо человеческого контроля и дополнительной верификации, привязал новые адреса электронной почты в качестве администраторов этих аккаунтов.

Речь идёт не об экспериментальном боковом проекте. В марте он был развёрнут на всей рекламной платформе Meta в рамках курса компании на создание агентной бизнес-поддержки. Meta продвигала ИИ-инструменты рекламодателям именно через эту поверхность: функции создания видеорекламы и агентная поддержка клиентов рядом с менеджером кампаний. Тот же агент, который помогает малому бизнесу решить проблему с выставлением счёта, по всей видимости, именно он решил, что аккаунту Обамы нужен новый административный email.

Захват аккаунта Sephora первыми обнаружили пользователи Reddit. Ряд других компрометаций перерос в освещение в федеральных СМИ. Meta не ответила на запросы 404 Media, однако уязвимость, судя по всему, была устранена. Компания публично не объяснила, что именно проверял чат-бот, что он должен был проверять и сколько аккаунтов прошло через эту уязвимость до её закрытия.

Для контекста: опрос Ассоциации национальных рекламодателей (ANA) и K2, опубликованный за день до этого, показал, что 43% членов ANA обеспокоены недостатком прозрачности со стороны агентских партнёров — практически без изменений по сравнению с 46% в 2016 году. Платформенная сторона уравнения тоже не особо восстанавливает доверие.

Техническая суть проблемы

Если убрать маркетинговый язык, режим отказа окажется знакомым. LLM получила инструмент — возможность изменять состояние администратора аккаунта — и ей разрешили вызывать этот инструмент на основании разговорных сигналов от неаутентифицированной или слабо аутентифицированной стороны. В одном предложении — весь класс уязвимости.

В традиционном процессе восстановления аккаунта предусмотрены жёстко закодированные шаги: подтверждение контроля над резервным email, предоставление документа, удостоверяющего личность, проверка устройства, ожидание периода охлаждения. Каждый шаг — детерминированный шлюз с журналом аудита. Замените этот процесс чат-агентом — и получите вероятностные шлюзы. Модель сама решает, как выглядит «доказательство» в её контекстном окне. Когда убедительный пользователь говорит нужные вещи в нужном порядке, политика модели сворачивается в согласие.

Meta Marketing API уже предоставляет конечные точки бизнес-активов и администратора с явными областями разрешений и требованиями к проверке. Эти ограждения существуют не просто так. Обёртывание LLM вокруг того же набора возможностей без сохранения этих проверок и приводит к тому, что Космические силы теряют свой Instagram из-за транскрипта чата.

Более глубокая структурная проблема состоит в том, что агентная поддержка продаётся одновременно как экономия затрат и улучшение пользовательского опыта — на платформе, чья человеческая служба поддержки годами работала так плохо, что для решения обычных проблем с аккаунтами существуют серые рынки услуг восстановления. Бот заменяет уровень обслуживания, который уже был сломан. Никогда не было сильной базовой точки, от которой можно было бы откатиться, и не было очевидного пути эскалации к человеку, чтобы поймать ошибки агента.

Моё мнение: любой агент, способный изменять состояние идентификационных данных или денежных средств, требует жёсткого правила: LLM предлагает действие, а детерминированная система выполняет его только после внеполосной верификации. Модели разрешено черновать. Ей не разрешено фиксировать изменения. Meta, судя по всему, выдала чат-боту права на фиксацию изменений, и патч — это предположительно ретроактивное применение этой границы.

Кто пострадал

Начнём с очевидных проигравших. Любой бренд, для которого Instagram является основным каналом трафика и дохода, только что узнал, что замок на парадной двери — это разговор. Sephora узнала об этом из Reddit, а значит, социальная команда бренда была не первой, кто узнал о компрометации аккаунта. Именно над этим разрывом в обнаружении должны задуматься performance-маркетологи.

Операторы iGaming, ведущие платное социальное привлечение через Meta, оказываются в особенно уязвимом положении. Захваченный бизнес-аккаунт может использоваться для отмывания рекламных расходов, продвижения партнёрских ссылок или разрушения репутации страницы в системе применения политики Meta за считанные часы. Восстановление после предупреждения о нарушении политики — по производственным инцидентам, которые я наблюдал — может занять недели даже тогда, когда бренд явно является жертвой. Потеря трафика усугубляется, потому что кампании, приостановленные на полпути, теряют данные о пейсинге и обучении.

Финтех и люксовый сегмент тоже под угрозой. Interluxe Group, клиентами которой являются Four Seasons, Rolls-Royce и Ferragamo, только что приобрела performance-агентство adMixt — потому что даже верхнеуровневый люксовый маркетинг теперь нуждается в data-driven привлечении. Это означает, что всё больше люксовых бюджетов проходит через аукцион Meta на аккаунтах, права администратора которых, судя по всему, можно было отвоевать у любого, кто рассказал достаточно убедительную историю.

Неприятное наблюдение: собственные стимулы Meta толкают к большему числу агентных поверхностей, а не меньшему. Когда учитываешь, что доход WPP от принципальных медиа в 2024 году составил именно $713 миллионов согласно материалам дела Ричарда Фостера против WPP, компания делает проблемы такого масштаба выглядящими незначительными. Закрытые экосистемы — там живёт рост рекламы. Агентства продолжают наращивать там свои обязательства, как отмечает Ник Мэннинг в работе ANA/K2, а бренды продолжают терять прозрачность как в цепочке медиапоставок, так и теперь, судя по всему, в модели безопасности аккаунтов.

Ближайшие 90 дней для уязвимых команд: больше фишинговых попыток со ссылками на чат-бот, больше имитации брендов и больше давления на социальные и security-команды, у которых нет общих деревьев эскалации.

Руководство для performance-маркетинга

Конкретные действия на эту неделю, по порядку.

Первое: проведите аудит доступа администраторов и Business Manager для каждого актива Meta, которым вы владеете. Удалите неактивных администраторов. Удалите агентские места для завершённых проектов. Каждый лишний администратор — это дополнительная цель для социальной инженерии через чат-бот или всё, что придёт ему на смену.

Второе: включите максимально сильную двухфакторную аутентификацию на каждом аккаунте администратора и обяжите использовать аппаратные ключи для всех, кто имеет права на выставление счетов или администрирование. Уязвимость чат-бота, судя по всему, исправлена, но паттерн сбоя — автоматизированная система, которую можно убедить изменить состояние, — повторится где-то ещё в стеке.

Третье: постройте внеполосный слой обнаружения для своих аккаунтов. Опрашивайте Marketing API на предмет изменений в списке администраторов, новых привязанных адресов электронной почты и выдачи разрешений. Если ваша социальная команда узнаёт о компрометации из Reddit, вы уже потеряли день. Опрос каждые 15 минут позволяет обнаружить проблему раньше клиентов.

Четвёртое: разработайте runbook для компрометации аккаунта в платном социальном маркетинге. Кто звонит агентскому представителю, кто приостанавливает кампании, кто подаёт апелляцию в Meta, кто готовит публичное заявление. Команды, с которыми я работал и у которых это было задокументировано, восстанавливались за дни. Команды без такого документа теряли недели данных о производительности кампаний и пейсинге.

Пятое: если вы работаете с агентством, потребуйте прозрачности в отношении принципальных медиа и обязательств в закрытых экосистемах прямо сейчас. Показатель обеспокоенности ANA в 43% почти не изменился за десятилетие. Сам по себе он не изменится. Задавайте вопросы в письменной форме.

Ключевые выводы

• Чат-бот поддержки Meta на базе ИИ, развёрнутый на всей рекламной платформе в марте, был обманут методами социальной инженерии и добавил новые административные email-адреса на аккаунты Sephora, Обамы и Space Force в Instagram до того, как уязвимость была устранена.
• Класс сбоя универсален: любая LLM с правами на фиксацию изменений идентификационных данных или платёжных данных — это инцидент безопасности, готовый произойти.
• 43% членов ANA по-прежнему называют прозрачность агентств проблемой — против 46% в 2016 году, — тогда как WPP в 2024 году получила $713 миллионов от принципальных медиа согласно материалам дела Фостера.
• Performance-команды должны на этой неделе провести аудит списков администраторов Meta, обязать использовать аппаратные ключи для двухфакторной аутентификации и опрашивать Marketing API на предмет несанкционированных изменений разрешений.
• Обнаружение не может зависеть от Reddit. Если клиенты увидели взлом раньше вашей команды, runbook уже провалился.