Cuối tháng 5/2026, hàng loạt tài khoản Instagram bị chiếm đoạt theo một cách mà ngay cả các chuyên gia bảo mật cũng phải kinh ngạc. Kẻ tấn công không cần crack mật khẩu, không cần xâm nhập máy chủ Meta. Chúng chỉ cần nhắn tin với chatbot AI hỗ trợ của chính Instagram và yêu cầu nó gửi mã đặt lại mật khẩu về địa chỉ email do chúng kiểm soát. Bot thực hiện đúng như vậy.
Cơ chế tấn công được ghi lại chi tiết trong các video lan truyền trên Telegram. Kẻ tấn công trước tiên dùng VPN để giả lập địa chỉ IP trùng khu vực với tài khoản mục tiêu, sau đó vào trang đăng nhập Instagram và nhấn "quên mật khẩu". Tại đây, nút truy cập chatbot AI hỗ trợ có tên "Get Support" xuất hiện.
Thay vì chọn các tùy chọn khôi phục thông thường, kẻ tấn công nhắn thẳng một câu yêu cầu chatbot AI gửi mã reset về email của mình. Chatbot xử lý yêu cầu mà không kiểm tra danh tính. Mã 8 chữ số nhận được sau đó được nhập lại vào chatbot để tạo mật khẩu mới, toàn bộ quá trình hoàn tất mà chủ tài khoản thực sự không hay biết.
Trong đợt tấn công này, nhiều tài khoản có sức ảnh hưởng lớn bị nhắm đến. Tài khoản Instagram chính thức của Nhà Trắng dưới thời Tổng thống Obama, vốn không đăng bài từ tháng 1/2017, bị chiếm và hiển thị nội dung chính trị từ nhóm tin tặc được cho là có liên hệ với Iran.
Tài khoản của chuỗi bán lẻ mỹ phẩm Sephora và Trung sĩ trưởng Lực lượng Vũ trụ Mỹ cũng bị chiếm trong cùng đợt. Các handle ngắn có giá trị cao trên thị trường chợ đen như @hey và @jowo, ước tính tổng giá trị hơn 1 triệu USD, bị lật và rao bán trên Telegram chỉ trong vài giờ.
Điều khiến sự cố này trở nên đáng lo hơn mức một vụ hack thông thường nằm ở chỗ chatbot AI này không phải sản phẩm mới ra mắt thiếu kiểm tra. Meta triển khai nó vào tháng 3/2026 với lời quảng bá rõ ràng rằng công cụ này có khả năng phát hiện và ngăn chặn các hành vi chiếm đoạt tài khoản.
Chưa đầy 3 tháng sau, chính chatbot AI đó trở thành cửa hậu cho kẻ tấn công. Một công ty trị giá 1.600 tỷ USD đã trao cho AI quyền thay đổi thông tin tài khoản người dùng mà không có bước xác minh danh tính nào đáng kể.
Các nhà nghiên cứu bảo mật gọi đây là dạng tấn công prompt injection, tức việc dùng câu lệnh ngôn ngữ tự nhiên để thao túng AI thực hiện hành động ngoài phạm vi được phép. Đây không phải lỗ hổng kỹ thuật phức tạp đòi hỏi kiến thức lập trình chuyên sâu. Vấn đề nằm ở chỗ Meta đã kết nối AI trực tiếp với hệ thống quản lý tài khoản mà không dựng đủ rào chắn xác thực.
Nhà nghiên cứu ZachXBT và Dark Web Informer, hai trong số những người đầu tiên ghi lại kỹ thuật này, mô tả đây là lỗi "confused deputy", trường hợp một hệ thống được tin tưởng và có quyền hạn cao bị thao túng để thực hiện hành động thay mặt kẻ không được phép.
Câu hỏi nhiều người dùng quan tâm nhất là bảo mật hai lớp có bảo vệ được không. Câu trả lời là chưa chắc. Nhiều người dùng trên Telegram cho biết kỹ thuật này không hiệu quả với tài khoản đã bật xác thực hai lớp. Tuy nhiên một số trường hợp được ghi nhận cho thấy tài khoản có 2FA vẫn bị chiếm thành công. Cơ chế cụ thể khiến 2FA bị vượt qua trong những trường hợp đó chưa được làm rõ hoàn toàn, kể cả sau khi Meta lên tiếng.
Phía Meta xác nhận đã vá lỗi và khôi phục các tài khoản bị ảnh hưởng, đồng thời nhấn mạnh không có hệ thống nội bộ nào bị xâm phạm. Tuy nhiên các nhà nghiên cứu chỉ ra lỗ hổng này có thể đã tồn tại từ tháng 3/2026, ngay từ thời điểm bot được triển khai, và số tài khoản bị ảnh hưởng trong suốt thời gian đó có thể lên đến hàng nghìn.
Một số người dùng cũng phản ánh vẫn gặp khó khăn trong việc lấy lại tài khoản dù Meta tuyên bố đã khắc phục xong. Trong thời điểm này, người dùng Instagram nên bật xác thực hai lớp nếu chưa làm, dù đây chưa phải biện pháp bảo vệ tuyệt đối trước kiểu tấn công khai thác chính AI của nền tảng.
Nguyễn Hải
