Meta, yapay zeka destekli bir destek aracındaki güvenlik açığı nedeniyle 20.225 Instagram hesabının yetkisiz üçüncü taraflarca ele geçirildiğini duyurdu. Şirket, sorunu 31 Mayıs'ta tespit ettiğini ve hemen müdahale ettiğini belirtti. Açık, Instagram hesabına erişimi kaybeden kullanıcılara yardımcı olması amaçlanan Yüksek Dokunuşlu Destek (HTS) aracında bulunuyordu.
Meta, Maine Başsavcılık Ofisi'ne (OAG) gönderdiği bildirimde, aracın normalde düzgün çalıştığını ancak ayrı bir kod yolundaki hatanın, şifre sıfırlama talebinde bulunan kişinin e-posta adresinin hesap sahibinin e-posta adresiyle eşleşip eşleşmediğini doğrulamadığını belirtti. Bu nedenle, saldırganlar yanlış e-posta adresine şifre sıfırlama bağlantısı alarak, iki faktörlü kimlik doğrulama (2FA) etkin olmayan hesaplara giriş yapabildi.
Saldırganların eriştiği veriler arasında iletişim bilgileri (e-posta ve telefon), doğum tarihi, sosyal medya gönderileri, doğrudan mesajlar, hesap etkinlikleri, profil bilgileri ve bağlı hesaplar yer alıyor. Meta, olayı çözmek için HTS aracını devre dışı bıraktı, tüm şifre sıfırlama bağlantılarını geçersiz kıldı ve etkilenen hesapları zorunlu bir güvenlik kontrol noktasına aldı.
Gelecekte Ne Bekleniyor?
Meta, aracı yeniden başlatmadan önce e-posta doğrulama hatasını düzelteceğini ve benzer hesap kurtarma akışlarını inceleyeceğini açıkladı. Şirket, potansiyel olarak etkilenen kişilere ulaşarak hesap güvenlik ayarlarını gözden geçirmelerini ve iki faktörlü kimlik doğrulamayı etkinleştirmelerini tavsiye etti.