Instagram AI Desteğiyle Hesap Ele Geçirme: Meta’nın Garip Açığı
Instagram hesaplarının ele geçirilmesi, özellikle Beyaz Saray’ın eski hesabının bile etkilenmesiyle gündeme oturdu. On beş yıla yakın süredir güvenlik açıkları ve istismarları tespit eden deneyimli bir uzmana göre, bu durum şimdiye dek gördüğü en tuhaf ve ‘inanılması güç’ güvenlik zafiyeti olarak nitelendiriliyor.
Saldırı Akışı: Sıfır Doğrulama ile Hesap Devri
Saldırganların bu ele geçirme yöntemini başlatmak için ihtiyaç duyduğu tek bilgi, hedef hesabın kullanıcı adıydı. Süreç, aşağıdaki adımlardan oluşuyordu:
- Adım 01: Konum Taklidi ve Destek Başlatma
Saldırganlar, kurbanın şehrine yakın bir VPN veya proxy kullanarak Instagram’ın güvenlik algoritmalarını atlatıyordu. Bu konum bilgisi, genellikle halka açık profillerden kolayca elde edilebiliyordu. İstek doğru bölgeden geliyormuş gibi göründüğünde, Meta’nın yapay zeka destekli müşteri hizmetlerine hesabın ele geçirildiği bildiriliyor ve doğrulama kodlarının saldırganın kontrolündeki rastgele bir e-posta adresine gönderilmesi talep ediliyordu. - Adım 02: Tek Adımlı Ele Geçirme
Bu kadar basit! Üretim ortamında görülen ilk gerçek ‘sıfır doğrulama’ parola sıfırlama yöntemiydi. Yapay zeka, kullanıcının daha önce kullandığı bir e-posta adresi olup olmadığını kontrol etmeksizin, güvenlik kodunu saldırganın e-postasına gönderiyordu. Saldırgan kodu geri beslediğinde, platform yeni bir parola sıfırlama bağlantısı sağlayarak hesabın tam kontrolünü saldırgana devrediyordu. Instagram’ın yapay zekası bazen kimliği doğrulamak için video özçekimi isteyebiliyordu, ancak bu da hedefin genel profilinden alınan yapay zeka animasyonlu bir fotoğrafla bile kolayca atlatılabiliyordu.
İki Faktörlü Kimlik Doğrulama (2FA) Neden İşe Yaramıyor?
Bu yüksek ayrıcalıklı kurtarma akışı, sistem tarafından ‘gerçek sahibinin’ hesabını tamamen sıfırlaması olarak yorumlandığı için, orijinal iki faktörlü kimlik doğrulama (2FA) süreci tamamen atlanıyordu. Mevcut oturumlar iptal ediliyor, parola değiştiriliyor ve hesap sahibine e-posta, SMS veya push bildirimi gönderilmiyordu. Gerçek sahip, e-posta ve telefon numaraları artık saldırgana ait olduğu için kurtarma işlemini başlatamıyordu. Durumu tırmandıracak bir insan destek birimi de bulunmuyordu; kullanıcılar sadece sohbet robotuyla tartışarak hesaplarını geri almaya çalışıyor, bu sırada saldırganın tekrar benzer bir eylem yapmamasını umuyorlardı. Yapay zeka destek seçeneğinin aktif olduğu A/B testine tabi hesaplar için bu özelliği kapatma imkanı da bulunmuyordu.
Kara Borsa Ticareti ve Yüksek Değerli Hesaplar
Bu güvenlik açığının ortaya çıkmasıyla birlikte, Telegram’da ‘hesap ele geçirme’ hizmetleri sunan çok sayıda kara borsa grubu türedi. Kısa kullanıcı adlarının yüz binlerce, hatta milyonlarca dolar değerinde olduğu düşünüldüğünde, bu durum şaşırtıcı değildi. ‘hey’ gibi kısa kullanıcı adları satıldı, ‘obamawhitehouse’ ve ABD Uzay Kuvvetleri Baş Çavuşu’nun hesabı olan ‘ocmssf’ gibi hesaplar ise propaganda amaçlı kullanıldı.
Açık Kapandı mı?
Tüm Telegram grupları sessizleşti; görünüşe göre Meta bu açığı yamaladı. Ancak bu yöntemin haftalarca, hatta aylarca aktif kaldığı tahmin ediliyor. 1.5 trilyon dolarlık bir şirketin güçlü güvenlik önlemlerinden yoksun olması ve destek yapay zekasının nazikçe sorulduğunda herhangi birinin bağlantılı e-postasını değiştirebilmesi, gülünç olmasa korkutucu bir durum.
