Meta AI Chatbot'u Kandıran Hackerlar Instagram Hesaplarını Ele Geçirdi

Instagram, birçok kullanıcının hesabının ele geçirilmesine yol açan ciddi bir güvenlik açığını giderdiğini duyurdu. Ortaya çıkan detaylar, saldırganların Meta'nın kendi yapay zeka destekli destek sohbet botunu (chatbot) manipüle ederek kurbanların hesaplarına yetkisiz erişim sağladığını gösteriyor. Güvenlik sistemlerini devre dışı bırakan bu yöntem, yapay zekanın doğrulama süreçlerindeki bir boşluğun nasıl istismar edilebileceğini bir kez daha gözler önüne serdi.

Olaylar, hafta sonu boyunca Reddit ve X (eski adıyla Twitter) platformlarında kullanıcıların hesaplarının çalındığına dair paylaşımlar yapmasıyla gün yüzüne çıktı. Sosyal medya üzerinde yayılan uyarılar, saldırının geniş çaplı olabileceğine işaret ederken, etkilenen hesaplar arasında oldukça dikkat çekici isimler yer aldı. 2017 yılından beri aktif olmayan Obama dönemi Beyaz Saray'ın resmi Instagram hesabının yanı sıra, ABD Uzay Kuvvetleri'nin Baş Kıdemli Başçavuşu John Bentinvegna'nın hesabının da ele geçirildiği belirlendi.

Siber güvenlik araştırmacısı Jane Wong da kendi hesabının hedef alındığını belirterek durumu doğruladı. Wong, şifresinin bilgisi dışında değiştirildiğini ve gün boyunca sürekli olarak farklı şifre sıfırlama denemeleri aldığını ifade etti. Yaşanan bu durumun oldukça endişe verici olduğunu vurgulayan Wong, saldırının ne kadar kolay gerçekleştirilebildiğine dikkat çekti.

X platformunda paylaşılan ve saldırının adım adım nasıl gerçekleştirildiğini gösteren bir video, yöntemin teknik detaylarını ortaya çıkardı. İddialara göre saldırganlar, öncelikle Instagram'ın otomatik hesap koruma sistemlerini tetiklememek için bir VPN kullanarak kendilerini kurbanın bulunduğu konumda gösteriyorlardı. Konum yanıltma işlemi başarılı olduktan sonra, saldırganlar Meta AI Destek Asistanı ile bir sohbet başlatıyordu.

Saldırının en kritik noktası, yapay zeka botunun manipüle edilmesiyle gerçekleşiyordu. Hacker, sohbet botundan hedef hesabın kayıtlı e-posta adresine yeni bir e-posta adresi eklemesini talep ediyordu. Şaşırtıcı bir şekilde chatbot, kurbanın orijinal e-posta adresini doğrulamak yerine, saldırgan tarafından sağlanan yeni e-posta adresine bir doğrulama kodu gönderiyordu. Saldırgan, kendi e-postasına gelen bu kodu bota ilettiğinde, sistem otomatik olarak bir "Şifreyi Sıfırla" butonu oluşturuyordu.

Bu aşamadan sonra saldırgan, yeni bir şifre belirleyerek kurbanın hesabını tamamen ele geçiriyordu. TechCrunch tarafından yapılan incelemelerde, videoda görünen hacker'ın halka açık e-posta kutusuna doğrulama kodunun gerçekten ulaştığı teyit edildi. Bu yöntemin en tehlikeli yanı, saldırganın kurbanın orijinal e-posta hesabına erişim sağlamasına gerek kalmadan tüm işlemi tamamlayabilmiş olmasıydı.

Pazartesi günü konuya ilişkin açıklama yapan Instagram sözcüsü Andy Stone, Jane Wong ve diğer etkilenen kullanıcılara verdiği yanıtta, söz konusu güvenlik açığının artık kapatıldığını bildirdi. Ancak, bu açık üzerinden toplamda kaç kullanıcının hesabının yetkisiz kişilerce erişildiğine dair net bir sayı henüz paylaşılmadı.

Meta şirketi, TechCrunch'ın konuyla ilgili detaylı yorum talebine henüz bir yanıt vermedi. Olay, yapay zekanın müşteri destek süreçlerine entegre edilmesinin beraberinde getirdiği yeni nesil siber güvenlik risklerini ve "sosyal mühendislik" yöntemlerinin artık botlar üzerinde de uygulanabileceğini kanıtlamış oldu.