สรุปสิ่งที่ผู้ใช้ Instagram ในไทยควรทำทันที: ช่องโหว่ที่เปิดทางให้แฮ็กเกอร์ยึดบัญชี Instagram ผ่าน Meta AI ยังคงถูกนำไปใช้โจมตีอย่างต่อเนื่อง แม้ Meta จะออกมาดำเนินการแก้ไขแล้วก็ตาม ตามรายงานของ Android Authority ฉบับวันที่ 3 มิถุนายน 2026 ระบุว่า "การแก้ไข" ของ Meta ยังไม่สามารถปิดช่องโหว่ฝั่ง backend ได้จริง ส่งผลให้แม้แต่ผู้ใช้ที่เปิดการยืนยันตัวตนสองชั้น (2FA) ก็ยังไม่อาจวางใจได้
ช่องโหว่ Meta AI ที่เปิดทางให้แฮ็กบัญชี Instagram คืออะไร
ตามรายงานของ Android Authority แฮ็กเกอร์อาศัยช่องทางที่เชื่อมโยงกับ Meta AI — ผู้ช่วย AI ในตระกูล Meta — เพื่อเข้าควบคุมกระบวนการกู้คืนบัญชี Instagram ของผู้อื่น โดยฝ่ายโจมตีอ้างว่า สิ่งที่ Meta ดำเนินการเพื่อปิดช่องโหว่นั้นเป็นเพียงการ "ลบปุ่มออกจากหน้าจอผู้ใช้ (UI)" เท่านั้น ขณะที่ฟังก์ชันฝั่งเซิร์ฟเวอร์ที่อนุญาตให้ AI ดำเนินการเปลี่ยนอีเมลและรีเซ็ตรหัสผ่านยังคงทำงานอยู่
รายงานเสริมจาก 404 Media ระบุว่า แฮ็กเกอร์สามารถ "ขอ" ให้ Meta AI ให้สิทธิ์เข้าถึงบัญชีระดับสูงได้โดยตรง ซึ่งเป็นข้อบ่งชี้ว่าโครงสร้างการอนุญาตของระบบ AI ฝั่ง Meta มีปัญหาในระดับการออกแบบ ไม่ใช่เพียงปัญหาผิวเผินที่หน้า UI
ทำไม "แก้แล้ว" จึงยังโดนแฮ็กต่อเนื่อง
โดยปกติ เมื่อผู้ให้บริการประกาศว่า "ปิดช่องโหว่แล้ว" ผู้ใช้ทั่วไปย่อมเข้าใจว่าระบบกลับมาปลอดภัย แต่ในกรณีนี้ การดำเนินการของ Meta จำกัดอยู่ในระดับการเปลี่ยนแปลงหน้าจอ ไม่ได้แตะเส้นทางการโจมตีที่แท้จริง ผลก็คือช่องทางการยึดบัญชีผ่าน Meta AI ยังคงเปิดให้แฮ็กเกอร์ใช้งานได้ตามที่รายงานระบุ
| ประเด็น | สิ่งที่รายงานเปิดเผย |
|---|---|
| จุดที่มีช่องโหว่ | เส้นทางที่เชื่อมโยงกับ Meta AI ในการกู้คืนบัญชี Instagram |
| สิ่งที่ Meta ดำเนินการ | ลบปุ่ม UI ออก (ตามคำกล่าวอ้างของฝ่ายโจมตี) |
| ความเสี่ยงที่ยังเหลือ | ไม่สามารถปิดช่องโหว่ฝั่ง backend ได้ |
| ผลกระทบ | บัญชี Instagram ยังถูกแฮ็กอย่างต่อเนื่อง |
ทั้งนี้ ข้อความ "ฝ่ายโจมตีอ้างว่า" และ "ฝั่ง backend ยังไม่ได้แก้" เป็นเนื้อหาที่ปรากฏในรายงาน ไม่ใช่คำแถลงอย่างเป็นทางการของ Meta จึงควรแยกแยะระหว่างคำชี้แจงของผู้ให้บริการกับข้อมูลจากฝั่งนักวิจัย
เปิด 2FA แล้วก็ยังไม่ปลอดภัย — ผู้ใช้ในไทยควรทำอะไรบ้าง
Android Authority ใช้คำว่า "continue to be hacked" หรือ "ถูกแฮ็กอย่างต่อเนื่อง" อย่างชัดเจน ซึ่งหมายความว่า แม้ผู้ใช้จะเปิด 2FA อันเป็นมาตรการพื้นฐาน ก็ไม่อาจรับประกันความปลอดภัยได้เต็มที่ในสถานการณ์ที่ช่องโหว่ยังเปิดอยู่
สำหรับผู้ใช้ Instagram ในประเทศไทย โดยเฉพาะอินฟลูเอนเซอร์ แบรนด์ และเจ้าของร้านค้าออนไลน์บน Shopee/Lazada ที่ใช้ Instagram เป็นช่องทางการตลาดหลัก ควรดำเนินการดังต่อไปนี้
- เปลี่ยนรหัสผ่านของอีเมลที่ผูกกับบัญชี Instagram ให้แข็งแรงและไม่ซ้ำกับบริการอื่นทันที
- ตรวจสอบและเปิดการแจ้งเตือนทุกครั้งที่มีการเปลี่ยนอีเมล เปลี่ยนรหัสผ่าน หรือการเข้าสู่ระบบจากอุปกรณ์ใหม่
- หากพบความเคลื่อนไหวที่ผิดปกติ ให้รีบเข้าสู่กระบวนการกู้คืนบัญชีของ Instagram ทันที โดยไม่ต้องรอ
- ติดตามประกาศจาก Meta อย่างเป็นทางการ รวมถึงรายงานเพิ่มเติมจากสื่อที่น่าเชื่อถือ
บัญชีที่ถูกยึด และตลาดมืด "OG Handle" มูลค่าหลายแสนดอลลาร์
รายงานเปิดเผยว่า บัญชีที่ถูกยึดในเหตุการณ์ครั้งนี้รวมถึง @obamawhitehouse ที่อยู่ในสถานะไม่มีการใช้งาน, เพจทางการของ Chief Master Sergeant แห่ง US Space Force, แบรนด์เครื่องสำอางระดับโลก Sephora, นักวิจัย Jane Manchun Wong และบัญชี @albert ของนักพัฒนา Albert Renshaw
ชื่อผู้ใช้ที่สั้น มีเพียงคำเดียวหรือไม่กี่ตัวอักษร ถูกเรียกในวงการว่า "OG Handle" และสามารถซื้อขายในตลาดมืดได้ในระดับ 6 หลักดอลลาร์ (ประมาณหลายล้านบาท) จึงตกเป็นเป้าหมายของการแฮ็กเชิงพาณิชย์อย่างเป็นระบบ
- เหตุการณ์ส่วนใหญ่เกิดขึ้นในวันที่ 29 พฤษภาคม 2026
- Meta ปล่อย hotfix ฉุกเฉินในเย็นวันเดียวกัน ระงับฟังก์ชัน AI ที่มีสิทธิ์เปลี่ยนแปลงอีเมลผูกบัญชี
- มีรายงานว่ากลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับอิหร่านอยู่เบื้องหลัง
- มูลค่ารวมของ OG Handle ที่ถูกยึดในรอบนี้ ประเมินว่าเกิน US$500,000 (ประมาณ 18,000,000 บาท)
"Authorization Failure" — ความผิดพลาดเชิงโครงสร้างของการออกแบบ AI Agent
บริษัทด้านความปลอดภัย Check Point วิเคราะห์ว่า เหตุการณ์ครั้งนี้ "ไม่ใช่ปัญหา prompt injection แต่เป็น authorization failure" หรือความผิดพลาดของระบบให้สิทธิ์ การที่แชตบอทช่วยเหลือลูกค้าสามารถดำเนินการสำคัญอย่างการเปลี่ยนอีเมลและรีเซ็ตรหัสผ่านได้ โดยไม่มีการยืนยันตัวตนเพิ่มเติมที่เป็นอิสระ ถือเป็นปัญหาในระดับโครงสร้างของระบบ ไม่ใช่บั๊กธรรมดา
ผู้เชี่ยวชาญเสนอแนวทาง "staged authority" หรือการให้สิทธิ์แบบเป็นชั้น ๆ แทนการเปิดสิทธิ์ทั้งหมดในคราวเดียว พร้อมการสร้างประตูอนุมัติ (approval gate) และสวิตช์หยุดฉุกเฉิน (kill switch) ที่แยกอิสระจาก prompt ของ AI รวมถึงการจำกัดการอัตโนมัติในกระบวนการที่อ่อนไหวอย่างการกู้คืนบัญชี
แนวโน้มของอุตสาหกรรมที่ปล่อยให้ AI ตัดสินใจเรื่องการกู้คืนบัญชี กำลังกลายเป็นความเสี่ยงเชิงโครงสร้างที่ส่งผลกระทบไม่เฉพาะ Meta แต่ยังครอบคลุมถึงผู้ให้บริการแพลตฟอร์มอื่นที่กำลังนำ AI Agent มาให้บริการลูกค้าด้วย
ข้อจำกัดของข้อมูลและสิ่งที่ควรจับตา
เนื่องจากเหตุการณ์ยังอยู่ระหว่างดำเนินอยู่ ข้อมูลในรายงานยังมีข้อจำกัดดังนี้
- คำกล่าวอ้างของฝ่ายโจมตีว่า "Meta เพียงลบปุ่ม UI" เป็นเนื้อหาที่สื่อรายงานต่อ ยังไม่ผ่านการตรวจสอบทางเทคนิคโดยอิสระอย่างสมบูรณ์
- รายละเอียดของการแก้ไขโดย Meta และจำนวนบัญชีที่ได้รับผลกระทบจริง ยังไม่ได้รับการเปิดเผยในระดับตัวเลข
- หาก Meta มีการดำเนินการแก้ไขเพิ่มเติม หรือมีการตรวจสอบจากบุคคลที่สาม สถานการณ์อาจเปลี่ยนแปลงได้
Q&A สำหรับผู้ใช้ในไทย
Q. เปิด 2FA แล้วยังต้องกังวลอยู่หรือไม่? ตามรายงาน การโจมตียังคงดำเนินอยู่ การพึ่งพา 2FA เพียงอย่างเดียวจึงอาจไม่เพียงพอ ผู้ใช้ควรเสริมความแข็งแกร่งให้กับรหัสผ่านของอีเมลที่ผูกกับบัญชี Instagram ควบคู่ไปด้วย
Q. การแก้ไขของ Meta เสร็จสมบูรณ์แล้วหรือยัง? Android Authority รายงานว่า การแก้ไขของ Meta ยังไม่สามารถปิดช่องโหว่ฝั่ง backend ได้ ฝ่ายโจมตีอ้างว่า Meta เพียงลบปุ่ม UI ออกเท่านั้น จึงยังไม่อาจสรุปได้ว่าการแก้ไขเสร็จสมบูรณ์อย่างแท้จริง
Q. จะตรวจสอบได้อย่างไรว่าบัญชีของตัวเองถูกยึดหรือไม่? ตรวจสอบอีเมลแจ้งเตือนการเปลี่ยนอีเมล เปลี่ยนรหัสผ่าน และการเข้าสู่ระบบจากอุปกรณ์ใหม่ หากพบรายการที่ไม่ได้ดำเนินการเอง ให้รีบเข้าสู่กระบวนการกู้คืนบัญชีของ Instagram ในทันที
สำหรับผู้บริโภคในไทยที่ใช้ Instagram เป็นช่องทางสร้างรายได้หรือสื่อสารกับลูกค้า ความเสี่ยงนี้ไม่ใช่เรื่องไกลตัว การเปลี่ยนรหัสผ่านของอีเมลหลักวันนี้ คือมาตรการที่ทำได้ทันทีและคุ้มค่าที่สุดในเวลานี้
แหล่งที่มา
- Android Authority — Instagram accounts continue to be hacked as hackers claim Meta only removed a UI button
- 404 Media — Hackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It Worked
- Check Point Blog — The Meta AI Account Recovery Incident Wasn't Just a Chatbot Problem
