Instagram, kullanıcı hesaplarının ele geçirilmesine yol açan kritik bir güvenlik açığını kapattığını duyurdu. Açığın, Meta’nın yapay zeka destekli müşteri destek asistanının manipüle edilmesiyle istismar edildiği ortaya çıktı.
Geçtiğimiz hafta Reddit ve X platformlarında çok sayıda kullanıcı, Instagram hesaplarının izinsiz şekilde ele geçirildiğini bildirdi. Etkilenen hesaplar arasında uzun süredir aktif olmayan Obama dönemi Beyaz Saray Instagram hesabı ile ABD Uzay Kuvvetleri Başçavuşu John Bentivegna’nın hesabı da yer aldı.
Güvenlik araştırmacısı Jane Wong da hesabının saldırıya uğradığını açıklayan isimler arasında yer aldı. Wong, şifresinin bilgisi dışında değiştirildiğini ve gün boyunca farklı parola sıfırlama girişimleriyle karşılaştığını belirterek durumun endişe verici olduğunu söyledi.
Saldırının nasıl gerçekleştirildiğini gösteren bir video ise sosyal medyada hızla yayıldı. Görüntülerde saldırganın öncelikle bir VPN kullanarak hedef kullanıcının bulunduğu konumu taklit ettiği görülüyor. Böylece Instagram’ın otomatik güvenlik sistemlerini tetiklenmesinin önüne geçiliyor.
Ardından saldırgan, Meta AI destek asistanı ile sohbet başlatıyor ve hedef hesaba yeni bir e-posta adresi eklenmesini talep ediyor. İddiaya göre yapay zeka destekli sistem, doğrulama kodunu doğrudan saldırganın belirttiği e-posta adresine gönderiyor. Kodun paylaşılmasının ardından sohbet botu, “Şifreyi Sıfırla” seçeneğini sunuyor ve saldırgan yeni bir parola belirleyerek hesabın kontrolünü ele geçiriyor.
Saldırının en dikkat çekici yönlerinden biri ise saldırganın kurbanın mevcut e-posta hesabına erişim sağlamasına gerek duymaması. Sürecin tamamı, destek asistanı üzerinden yürütülerek hesap devralma işlemi gerçekleştirilebiliyordu.
Konuyla ilgili açıklama yapan Instagram sözcüsü Andy Stone, güvenlik açığının giderildiğini ve sorunun artık çözüldüğünü belirtti. Ne kadar kullanıcının bu yöntemle mağdur olduğu ise henüz bilinmiyor.
Öte yandan şirket, olayla ilgili kapsamlı bir açıklama yapmaktan kaçınıyor. Şirketin yapay zeka tabanlı destek sistemlerinde kimlik doğrulama süreçlerini nasıl güçlendireceği merak konusu olurken yaşanan olay yapay zeka destekli müşteri hizmetlerinin güvenlik risklerini yeniden gündeme taşıdı.
Uzmanlar, kullanıcıların hesaplarında iki faktörlü kimlik doğrulamayı etkinleştirmelerini ve hesaplarına bağlı e-posta adreslerini düzenli olarak kontrol etmelerini öneriyor. Olay, yapay zeka sistemlerinin yanlış yönlendirilmesi halinde ne kadar ciddi güvenlik sonuçları doğurabileceğini gösteren son örneklerden biri olarak değerlendiriliyor.
