Meta AI Aracındaki Güvenlik Açığı 20.000'den Fazla Instagram Hesabının Ele Geçirilmesine Yol Açtı Yazılım

Meta AI Aracındaki Güvenlik Açığı 20.000'den Fazla Instagram Hesabının Ele Geçirilmesine Yol Açtı

Meta'nın AI destekli High Touch Support aracındaki bir hata, 20.225 Instagram hesabının yetkisiz kişilerce ele geçirilmesine neden oldu.

Meta, yapay zeka destekli High Touch Support (HTS) aracındaki bir güvenlik açığı nedeniyle 20.000'den fazla Instagram hesabının yetkisiz üçüncü taraflarca ele geçirildiğini açıkladı. Şirket, sorunu 31 Mayıs'ta tespit ettiğini ve hemen müdahale ettiğini belirtti. HTS aracı, Instagram hesaplarına erişimi kaybeden kullanıcıların yeni bir şifre bağlantısı göndererek hesaplarına yeniden erişmelerine yardımcı olmak için tasarlanmıştı.

Meta, Maine Başsavcılığı'na (OAG) gönderdiği bir mektupta, aracın amaçlandığı gibi çalıştığını ancak ayrı bir kod yolundaki bir hatanın sistemi etkilediğini açıkladı. Hata nedeniyle sistem, şifre sıfırlama talebinde bulunan kişinin girdiği e-posta adresinin, o Instagram hesabıyla ilişkili e-posta adresiyle eşleşip eşleşmediğini doğru şekilde kontrol edemedi. Bu da, daha önce hesapla ilişkilendirilmemiş bir e-posta adresi girildiğinde, sistemin talebi reddetmek yerine şifre sıfırlama bağlantısını o ilişkisiz e-postaya göndermesine yol açtı.

Sonuç olarak, tehdit aktörleri sahibi olmadıkları hesaplar için şifre sıfırlama bağlantıları alabildi ve hesap sahibinin iki faktörlü kimlik doğrulama (2FA) etkinleştirilmemişse hesaplara giriş yapabildi. Düzenleyici dosyalamaya göre, 20.225 Instagram kullanıcısının hesabı bu şekilde tehlikeye atıldı. Olayda ifşa olan veriler arasında iletişim bilgileri (e-posta adresi ve/veya telefon numarası), doğum tarihi, sosyal medya gönderileri ve içerikleri (fotoğraflar, videolar, hikayeler), doğrudan mesajlar ve iletişimler, hesap etkinliği ve etkileşim geçmişi, profil bilgileri (biyografi, profil fotoğrafı), bağlı hesaplar ve bağlı hizmetler yer alıyor.

Uzmanların Görüşleri

Meta, olaya hemen müdahale ederek AI destekli HTS destek aracını ve güvenlik açığı bulunan kod yolunu devre dışı bıraktı ve mevcut tüm şifre sıfırlama bağlantılarını geçersiz kıldı. Sosyal medya devi, etkilenen hesapları, hesaba erişimden önce kimlik doğrulamayı engelleyen 'zorunlu güvenlik kontrol noktasına' aldı. Kullanıcılara şifrelerini sıfırlamaları ve güvenli, doğrulanmış kanallar aracılığıyla yeniden kimlik doğrulaması yapmaları talimatı verildi.

Meta, aracı yeniden başlatmadan önce Instagram kurtarma giriş noktasındaki kimlik doğrulama kontrolünü düzelterek, herhangi bir şifre sıfırlama başlatılmadan önce e-posta adreslerinin mevcut hesap bilgilerine karşı düzgün şekilde doğrulanmasını sağlayacağını belirtti. Ayrıca şirket, Meta platformları genelinde benzer hesap kurtarma akışlarının kapsamlı bir incelemesini yaparak olası sorunları tespit edip düzelteceğini duyurdu.

Teknik Analiz

Meta, olaydan potansiyel olarak etkilenen kişilere mektup yazarak hesap güvenlik ayarlarını gözden geçirmelerini ve iki faktörlü kimlik doğrulamayı etkinleştirmelerini tavsiye ediyor. Bu olay, AI destekli araçların güvenlik açıklarına karşı ne kadar hassas olabileceğini bir kez daha gösteriyor. Kullanıcıların, hesaplarını korumak için 2FA gibi ek güvenlik önlemlerini almaları ve şifre sıfırlama taleplerine karşı dikkatli olmaları büyük önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: