Meta AI Botu Aracılığıyla Binlerce Instagram Hesabı Hacklendi
Meta, şirketinin yapay zeka sohbet botunun aylarca süren istismarı sırasında ele geçirilen binlerce Instagram hesabı sahibini bilgilendiriyor. Hackerlar, kişilerin hesaplarını kontrol altına almak için yapay zeka botunu tekrar tekrar kandırdı.
‘This week in security’ tarafından görülen yeni bir veri ihlali bildirim mektubunda Meta, daha önce 404 Media ve TechCrunch tarafından bildirilen bu uzun soluklu siber saldırı kampanyası kapsamında kaç kişinin hesabının ele geçirildiğini ilk kez açıkladı. Etkilenen hesap sayısı, bu hack kampanyasının ne kadar yaygın olduğunu ve ne kadar süredir devam ettiğini gösteriyor.
Hacking Kampanyasının Boyutu ve Etkilenen Hesaplar
Cuma gecesi Maine eyaleti başsavcılık ofisine sunulan veri ihlali bildirimine göre, Meta en az 20.225 kişinin hesaplarının tehlikeye girdiğini bildirdi. Bu sayıya Maine eyaletinden 30 kişi de dahil. Bildirimde belirtildiğine göre, ele geçirmeler hackerların kişinin tüm Instagram hesabını ve bağlı olan tüm hesapları kontrol altına almasına olanak sağladı. Bu durum, iletişim bilgilerini, doğum tarihlerini ve profil bilgilerini elde etmenin yanı sıra, kişinin gönderilerine, doğrudan mesajlarına ve hesap etkinliklerine erişim yeteneğini de içeriyordu.
Yapay Zeka Destekli Kurtarma Sistemindeki Güvenlik Açığı
Meta’nın bildirimi, ihlalin ‘Instagram için yapay zeka destekli bir hesap kurtarma sistemindeki bir güvenlik açığı’ ile ilgili olduğunu doğruladı. Bu açık, ‘Instagram kullanıcı hesaplarında parola sıfırlamaları gerçekleştirmek’ için kötüye kullanıldı. Daha önce de bildirildiği gibi, hackerlar Meta’nın sohbet botundaki bir hatayı kötüye kullanarak iki faktörlü kimlik doğrulaması etkin olmayan herhangi bir hesabın parolasını sıfırlayabildi. Bu hata, sohbet botunu kandırarak, doğrulama kodunu hesap sahibinin kayıtlı e-posta adresi yerine, hacker tarafından kontrol edilen bir e-posta adresine göndermesini sağladı. Bot, bu talebe uydu.
Meta, ihlal bildiriminde şu ifadelere yer verdi: ‘Araç doğru bir şekilde çalıştı ve amaçlandığı gibi işlev gördü; ancak ayrı bir kod yolundaki bir hata nedeniyle, sistem parola sıfırlama talebinde bulunan kişinin sağladığı e-posta adresinin, o kullanıcının Instagram hesabıyla ilişkili e-posta adresiyle eşleştiğini doğru bir şekilde doğrulayamadı. Sonuç olarak, bir kişi daha önce hesapla ilişkili olmayan bir e-posta adresi sağladığında, sistem talebi reddetmek yerine yanlışlıkla o ilişkisiz e-postaya bir parola sıfırlama bağlantısı gönderdi. Bu durum, yetkisiz üçüncü tarafların sahip olmadıkları hesaplar için parola sıfırlama bağlantıları almasına olanak tanıdı.’ Meta, bu noktada hackerların birinin parolasını sıfırlayabildiğini ve yasal sahibiymiş gibi hesabını ele geçirebildiğini belirtti.
Meta’nın Yanıtı ve Gelecek Adımlar
Meta, bu hackler sırasında herhangi bir kişisel bilgiye erişilip erişilmediği konusunda ‘bilgisiz’ olduğunu ifade etti. Maine listelemesine göre, hack saldırıları yaklaşık 17 Nisan’da başladı ve Meta’nın sohbet botunu güvence altına aldığı bu haftaya kadar sürdü. Instagram’ın etkilenen kişileri bu hafta başlarında parola sıfırlama bildirimi göndererek uyarmaya başladığı bildirilirken, bazıları hacklerin devam ettiğini de belirtti.
Meta ayrıca bildirimde, kullanıcıları hesaplarını güvence altına almaları konusunda uyardığını ve ‘etkilenen kullanıcılara parolalarını sıfırlamaları ve güvenli, doğrulanmış kanallar aracılığıyla yeniden kimlik doğrulaması yapmaları talimatını verdiğini’ doğruladı. Şirket, yapay zeka sohbet botunu şimdilik devre dışı bıraktığını ve sohbet botunun kullanıcı hesaplarını sıfırlamasına olanak tanıyan kod yolunu kaldırdığını bildirdi. Ayrıca, benzer bir olayın tekrarını önlemek için diğer platformlarındaki sohbet botlarını da kontrol ettiğini ekledi. Sohbet botunun kötüye kullanılmasına yol açan koşulların ne olduğu henüz net değil, ancak bu olay Meta’nın yapay zekaya daha fazla odaklanması ve binlerce çalışanını işten çıkarmasının ardından yaşandı.

