Meta AI Asistanı Güvenlik Açığı: 20.000'den Fazla Instagram Hesabı Çalındı

Meta'nın yapay zeka destekli sohbet asistanındaki bir güvenlik açığı, bilgisayar korsanlarının birçok Instagram hesabını ele geçirmesine olanak tanıdı. Üstelik bunu, mağdurların e-posta adreslerine erişmeden başardılar. Kullanıcıların şikayetlerinin ardından Meta, sorunu çözdüğünü duyurdu.

Karmaşık şifreleri aşmak veya sofistike kimlik avı kampanyaları düzenlemek artık geçmişte kaldı. Görünüşe göre bazı korsanlar daha basit bir yöntem buldu: Güvenliği zayıf bir yapay zekaya kibarca işi onlar için yapmasını istemek. Instagram, binlerce kullanıcı hesabının ele geçirilmesine yol açan bir güvenlik açığını düzelttiğini kabul etti. Meta'nın Maine eyaletine sunduğu yasal bildirime göre toplam 20.225 hesap etkilendi. Korsanlar, sosyal ağın yapay zeka tabanlı sohbet asistanı Meta AI Support Assistant'ı kullandı.

30 Mayıs hafta sonunda birçok internet kullanıcısı tarafından ortaya çıkarılan olay, giderek artan otomatikleştirilmiş destek hizmetlerinin riskleri hakkında yeni soruları gündeme getirdi. İlk şikayetler Reddit'te ortaya çıktı ve ardından X'te (eski adıyla Twitter) çoğaldı. Birçok kullanıcı Instagram hesaplarının kontrolünü kaybettiğini iddia etti. Ele geçirilen profiller arasında Obama yönetiminin 2017'den beri aktif olmayan Beyaz Saray hesabı ve ABD Uzay Kuvvetleri üyesi Başçavuş John Bentivegna'nın hesabı da bulunuyordu.

Siber güvenlik araştırmacısı Jane Wong da güvenlik açığından etkilendiğini belirtti. Wong, sosyal medyada "Şifrem haberim olmadan değiştirildi ve birkaç şifre sıfırlama girişimi aldım. Bu oldukça endişe verici" dedi. X'te yayınlanan bir video, bir Instagram hesabının nasıl ele geçirileceğini ayrıntılı olarak gösteriyordu. Korsanlar, kullanıcıların hesaplarını kurtarmasına veya yönetmesine yardımcı olmakla görevli Meta destek asistanının çalışma şeklini istismar etti. Hesap sahibinin gerçek e-postasına erişmeye gerek yoktu; sadece yapay zeka ile sohbet etmek yeterliydi. Saldırı, saldırganın gerçek konumunu gizlemek ve bazı otomatik algılama mekanizmalarını atlatmak için bir VPN kullanımıyla başlıyordu. Korsan daha sonra Meta destek asistanıyla sohbet başlatıp yeni bir e-posta adresi eklenmesini talep ediyordu.