Geçtiğimiz hafta sonu, Obama Beyaz Saray ve ABD Uzay Kuvvetleri Başçavuşu'na ait Instagram hesapları, pro-İran görselleri ve mesajlarıyla kısa süreliğine değiştirildi. Saldırı, Telegram kanallarında yayılan ve Meta'nın yapay zeka destekli yardım botunu kandırarak şifre sıfırlama işlemi yapmayı anlatan talimatlarla gerçekleşti. Bu olay, büyük platformların hassas hesap kurtarma işlemlerinde AI botlarını kullanmasının beraberinde getirdiği güvenlik risklerini bir kez daha gözler önüne serdi.
31 Mayıs'ta, Telegram'daki birkaç kanalda Meta'nın AI botunun, standart şifre sıfırlama akışının bir parçası olarak mevcut bir hesaba e-posta adresi ekleyebildiği bilgisi yayılmaya başladı. Pro-İran hackerlar tarafından Telegram'da yayınlanan bir video, son derece basit bir exploit olduğu iddia edilen bir yöntemi belgeliyordu. Videoya göre saldırgan, hedefin yaşadığı şehre yakın bir IP adresine sahip VPN kullanarak hesap için şifre sıfırlama talebinde bulunuyor ve ardından Meta'nın AI destek asistanıyla sohbet etmeyi seçiyordu. Saldırgan, bottan hesabı yeni bir e-posta adresine bağlamasını istiyor, bot da bu adrese tek kullanımlık bir kod göndererek şifre sıfırlamaya izin veriyordu.
Videoyu yayınlayan Telegram hesabı ayrıca, hackerların bu exploit ile çok sayıda değerli (yani kısa) Instagram kullanıcı adını ele geçirdiğini ve bu hesapların yeniden satış değerinin 500.000 doların üzerinde olduğunu iddia etti. Bu durum, kısa ve akılda kalıcı kullanıcı adlarının kara borsada ne kadar yüksek fiyatlara alıcı bulduğunu gösteriyor. Meta konuyla ilgili henüz resmi bir açıklama yapmazken, Meta sözcüsü Andy Stone Twitter/X üzerinden sorunun çözüldüğünü ve etkilenen hesapların güvence altına alındığını duyurdu.
Sonuç ve Değerlendirme
Güvenlik blogu thecybersecguru.com, Meta'nın hafta sonu acil bir yama yayınladığını ve herhangi bir arka uç veritabanının ihlal edilmediğini bildirdi. Blog, Instagram'ın kötü şöhretli zayıf insan destek altyapısına dikkat çekerek, Meta'nın bu sorunu çözmek için yaygın kurtarma iş akışlarını (kayıp e-posta adresini yeniden bağlama, şifre sıfırlama tetikleme, hesap sahipliğini doğrulama) yönetmek üzere konuşmaya dayalı bir AI katmanı devreye soktuğunu belirtti. Ancak bu AI asistanının, meşru kullanıcıların hesap erişim sorunlarını çözmesini kolaylaştırması beklenirken, hackerlar tarafından da kötüye kullanılabileceği ortaya çıktı.
Nasıl Önlem Alınmalı?
Lumen'in Black Lotus Labs tehdit araştırmacısı Ian Goldin, büyük çevrimiçi platformların hassas hesap kurtarma taleplerini AI sohbet robotlarına emanet etmeye başlamasıyla birlikte bilinmeyen güvenlik bölgelerine girdiğimizi söylüyor. Tıpkı insan müşteri hizmetleri çalışanlarının sosyal mühendislikle kandırılarak yetkisiz erişim sağlayabilmesi gibi, AI botlarının da ikna ve hileye karşı savunmasız olduğunu vurguluyor. Goldin, "AI sohbet robotları yeni ve ilginç bir saldırı yüzeyi oluşturuyor ve muhtemelen bu tür saldırıların çok daha fazlasını göreceğiz" diyor.
Teknik Analiz
Bu tür saldırılardan korunmanın en etkili yolu, sunulan en güçlü çok faktörlü kimlik doğrulama (MFA) yöntemini (passkey veya güvenlik anahtarı gibi) kullanmaktır. Bu özel durumda, Instagram'ın sunduğu en zayıf MFA biçimi olan SMS ile gönderilen tek kullanımlık kod bile exploit'i engellemeye yetiyordu. Telegram'da videoyu yayınlayan hackerlar, MFA etkin olan hesaplarda exploit'in işe yaramadığını belirtti. Bu nedenle, tüm çevrimiçi hesaplarınızda mümkün olan en güçlü MFA yöntemini etkinleştirmek, hesabınızı ele geçirme girişimlerine karşı en kritik savunma hattını oluşturuyor.
Kaynak: krebsonsecurity.com