Meta AI Hackerların İşini Kolaylaştırdı
Meta AI, Instagram hesap güvenliğiyle ilgili ciddi bir açıkla tartışma yarattı. Yapay zeka destek asistanı, hackerların işini kolaylaştırmış olabilir.
Meta AI, kullanıcıların hesap sorunlarına daha hızlı çözüm bulması için geliştirilmişti ancak son iddialar, bu sistemin beklenmedik şekilde kötüye kullanıldığını gösteriyor. Sosyal medyada paylaşılan bilgilere göre Meta’nın yapay zeka destek asistanı, bazı Instagram hesaplarında e-posta adresinin değiştirilmesine yeterli kimlik doğrulama yapmadan izin verdi. Bu da saldırganların özellikle yüksek profilli hesaplara erişmesini kolaylaştırmış olabilir.
Olayın büyümesinin nedeni, sürecin şaşırtıcı derecede basit görünmesi. İddialara göre saldırganlar, hedef hesaba yakın bir konumdan bağlanıyormuş gibi görünmek için VPN kullanıyor, ardından Meta AI destek botundan hesaba bağlı e-posta adresini değiştirmesini istiyordu. Bazı örneklerde sistemin iki faktörlü doğrulamayı bile etkili şekilde aşabildiği söyleniyor. Bu da “7/24 destek” fikrinin, yeterince sağlam güvenlik kontrolleri olmadan ne kadar riskli hale gelebileceğini gösterdi.
Meta AI Güvenlik Açığıyla Büyük Tepki Çekti
Meta AI, Aralık ayında kullanıcıların hesap desteğine daha kolay ulaşması için devreye alınmıştı. Dolandırıcılık bildirme, içerik kaldırma süreçleri ve şifre sıfırlama gibi konularda yardımcı olması beklenen sistem, özellikle şifre ve hesap kurtarma tarafında saldırganların hedefi haline geldi. Çünkü bu alan, doğrudan hesap sahipliğiyle ilgili olduğu için en küçük doğrulama zayıflığı bile büyük sonuçlar doğurabiliyor.
Sosyal medyada paylaşılan bazı gösterimlerde, destek botunun hedef Instagram hesabına bağlı e-posta adresini fazla sorgulamadan değiştirdiği öne sürüldü. E-posta değiştirildikten sonra saldırganlar şifreyi yenileyebiliyor ve hesabın kontrolünü ele geçirebiliyordu. Bazı durumlarda kimlik doğrulama için selfie istendiği, ancak bunun da yapay zeka araçlarıyla aşılabildiği iddia edildi. Kısacası saldırı, yalnızca teknik bir açık değil, otomatik destek sisteminin güvenlik mantığındaki zayıflıkla da ilgili görünüyor.
Kısa süre içinde ele geçirilen hesaplar arasında Sephora, Space Force’tan üst düzey bir isim, araştırmacı Jane Manchun Wong, geliştirici Albert Renshaw’ın @albert kullanıcı adlı hesabı ve Barack Obama dönemine ait arşivlenmiş White House hesabı gibi dikkat çeken örneklerin bulunduğu aktarıldı. Ayrıca değerli kullanıcı adlarına sahip birçok kişinin de hafta sonu boyunca hesaplarını kaybettiği bildirildi. Bazı güvenlik araştırmacıları, bu açığın karaborsa Instagram servisleri sunan Telegram kanallarında ciddi şekilde kullanıldığını söyledi.
Meta cephesinden gelen açıklamaya göre sorun hafta sonu içinde kapatıldı ve etkilenen hesapların güvenliği yeniden sağlanmaya çalışılıyor. Şirketin iletişimden sorumlu yöneticisi Andy Stone da açığın giderildiğini belirtti. Ancak hesaplarını kaybeden bazı kullanıcıların aynı yapay zeka destek sistemiyle hesaplarını geri alamadığı ve insan destek temsilcisine ulaşamadığı da bildirildi. Bu olay, yapay zeka destekli müşteri hizmetlerinin pratik olabileceğini ama hesap güvenliği gibi hassas alanlarda insan kontrolü ve güçlü doğrulama olmadan tehlikeli sonuçlar doğurabileceğini çok net şekilde hatırlattı.
