La herramienta en sí funcionó correctamente y funcionó según lo previsto; sin embargo, debido a un error en una ruta de código separada, el sistema no verificó adecuadamente que la dirección de correo electrónico proporcionada por la persona que solicitaba restablecer la contraseña coincidiera con la dirección de correo electrónico asociada con la cuenta de Instagram de ese usuario. Como resultado, cuando una persona proporcionaba una dirección de correo electrónico no asociada previamente con la cuenta, el sistema enviaba incorrectamente un enlace para restablecer la contraseña a ese correo electrónico no asociado en lugar de rechazar la solicitud. Esto permitió que terceros no autorizados recibieran un enlace para restablecer la contraseña de cuentas que no eran de su propiedad.
Meta dice que el ataque surgió por primera vez el 31 de mayo, y el jefe de comunicaciones de Meta, Andy Stone, dijo que la compañía «resolvió» el incidente el 1 de junio. Durante este tiempo, varias cuentas de Instagram de alto perfil se vieron afectadas, incluida la antigua cuenta de la Casa Blanca del ex presidente Barack Obama, el sargento mayor jefe de la Fuerza Espacial de EE. UU., John F. Bentivegna, y Sephora. En el aviso, Meta agrega que «no sabe» si se accedió a algún dato personal como resultado del exploit, pero señala que los secuestradores de cuentas podrían haber obtenido direcciones de correo electrónico, números de teléfono, fechas de nacimiento, publicaciones en redes sociales, mensajes directos, información de perfil, actividad de la cuenta y cuentas conectadas.
El aviso dice que 30 de los usuarios afectados vivían en Maine. El número se refiere a «usuarios a quienes se les restablecieron sus contraseñas a través de la herramienta de soporte, no tenían 2FA habilitado en su cuenta y cuyas cuentas de Instagram probablemente fueron accedidas por una parte no autorizada», aunque Meta dice que es un «límite superior», ya que algunas de estas cuentas pueden haber sido accedidas legítimamente.
La compañía señala que deshabilitó su herramienta de soporte de inteligencia artificial y eliminó la ruta del código defectuoso, al tiempo que invalidó cualquier enlace de restablecimiento de contraseña generado mediante el exploit. También inscribió todas las cuentas potencialmente afectadas «en un punto de control de seguridad obligatorio que requiere autenticación antes de cualquier acceso a la cuenta».
