Meta, yetkisiz üçüncü şahısların yapay zeka destek aracındaki bir güvenlik açığından yararlanarak binlerce Instagram hesabına erişim sağladığını ortaya çıkardı.
Meta, 31 Mayıs'ta AI destekli Yüksek Dokunma Desteği (HTS) aracındaki sorunu keşfettiğini söyledi.
Araç, Instagram hesaplarına erişimi engellenen kullanıcılara yeni bir şifre bağlantısı göndererek yeniden erişim kazanmalarına yardımcı olmayı amaçlıyor.
Detaylar ve Etkileri
Meta, Başsavcılığa (OAG) yazdığı bir mektupta şöyle açıkladı: "Aracın kendisi düzgün çalıştı ve amaçlandığı gibi çalıştı; ancak ayrı bir kod yolundaki bir hata nedeniyle sistem, şifre sıfırlama talebinde bulunan kişi tarafından sağlanan e-posta adresinin o kullanıcının Instagram hesabıyla ilişkili e-posta adresiyle eşleştiğini doğru şekilde doğrulamadı."
Uzmanların Görüşleri
"Sonuç olarak, bir kişi daha önce hesapla ilişkilendirilmemiş bir e-posta adresi sağladığında sistem, isteği reddetmek yerine yanlışlıkla bu ilişkisiz e-postaya bir şifre sıfırlama bağlantısı gönderdi."
Nasıl Önlem Alınmalı?
Meta güvenliği hakkında daha fazlasını okuyun: Cep Telefonlarında Facebook için Tam Geçiş Anahtarı Desteğini Sunacak Meta
Sonuç olarak, tehdit aktörleri, sahip olmadıkları hesaplar için şifre sıfırlama bağlantılarını alabildi ve gerçek hesap sahibinin iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmemesi durumunda oturum açabildi.
Sonuç ve Değerlendirme
Düzenleyici dosyaya göre 20.225 Instagram kullanıcısının hesapları bu şekilde ele geçirildi. Güvenlik sorununun açığa çıkardığı veriler arasında şunlar vardı:
İletişim bilgileri (e-posta adresi ve/veya telefon numarası)
Teknik Analiz
Sosyal medya gönderileri ve içerikleri (fotoğraflar, videolar, hikayeler)
Doğrudan mesajlar ve iletişim
Hesap etkinliği ve etkileşim geçmişi
Profil bilgileri (biyografi, profil fotoğrafı)
Gelecekte Ne Bekleniyor?
Bağlı hesaplar ve bağlı hizmetler
Karışıklığı Temizlemek
Önemli Gelişmeler
Meta, yapay zeka destekli HTS destek aracının ve savunmasız kod yolunun devre dışı bırakılması ve mevcut tüm şifre sıfırlama bağlantılarının geçersiz kılınması da dahil olmak üzere, olayı ele almak için acil adımlar atıldığını söyledi.
Sistem Güvenliği
Sosyal medya devi ayrıca etkilenen hesapları, hesaba erişim öncesinde kimlik doğrulamayı önleyen bir "zorunlu güvenlik kontrol noktasına" kaydetti. Etkilenen kullanıcılara şifrelerini sıfırlamaları ve güvenli, doğrulanmış kanallar aracılığıyla yeniden kimlik doğrulamaları yapmaları söylendi.
Firma, "Aracı yeniden başlatmadan önce Meta, herhangi bir şifre sıfırlama başlatılmadan önce e-posta adreslerinin mevcut hesap bilgileriyle doğru şekilde doğrulanmasını sağlamak için Instagram kurtarma giriş noktasındaki kimlik doğrulama kontrolünü düzeltecek" diye ekledi.
"Ek olarak Meta, olası sorunları belirlemek ve düzeltmek için Meta platformlarındaki benzer hesap kurtarma akışlarının kapsamlı bir incelemesini yürütüyor."
Firma, olaydan potansiyel olarak etkilenen kişilere yazarak, onları hesap güvenliği ayarlarını gözden geçirmeye ve iki faktörlü kimlik doğrulamayı etkinleştirmeye çağırıyor.
Görsel kaynak: Pavel105 / Shutterstock.com