Meta'nın Yapay Zeka Destek Botu Hacklendi: Instagram Hesapları İran Yanlısı Mesajlarla Ele Geçirildi Yazılım

Meta'nın Yapay Zeka Destek Botu Hacklendi: Instagram Hesapları İran Yanlısı Mesajlarla Ele Geçirildi

Hackerlar, Meta'nın yapay zeka destek botunu kullanarak Instagram şifrelerini sıfırladı ve Obama Beyaz Sarayı gibi ünlü hesapları ele geçirdi.

Geçtiğimiz hafta sonu, Obama Beyaz Sarayı ve ABD Uzay Kuvvetleri Başçavuşu'nun Instagram hesapları, İran yanlısı görseller ve mesajlarla tahrip edildi. Saldırının kaynağı, Telegram kanallarında yayılan bir video oldu. Videoda, Meta'nın 'AI destek asistanı' botunun, şifre sıfırlama işlemi sırasında hesaba yeni bir e-posta adresi eklemeye ikna edilebileceği gösteriliyordu. Bu basit ama etkili yöntem, hackerların değerli hesapları ele geçirmesine olanak tanıdı.

Saldırı yöntemi oldukça basitti: Hackerlar, hedefin bulunduğu şehre yakın bir IP adresi kullanarak VPN bağlantısı kurdu, ardından Instagram'da şifre sıfırlama talebinde bulundu. Bu aşamada Meta'nın AI destek botuyla sohbet başlatan hackerlar, bota hesaba yeni bir e-posta adresi eklemesini söyledi. Bot, talimatı yerine getirerek yeni adrese tek kullanımlık bir kod gönderdi ve böylece şifre sıfırlama işlemi tamamlandı. Telegram'da yayınlanan video, bu işlemin adım adım nasıl yapıldığını gösteriyordu.

Saldırıyı gerçekleştiren Telegram hesabı, ele geçirilen hesapların ekran görüntülerini ve İran yanlısı mesajları paylaştı. Ayrıca, bu yöntemle kısa ve değerli Instagram kullanıcı adlarının (tek haneli, iki haneli gibi) ele geçirildiği ve bu hesapların ikinci el piyasada yarım milyon dolardan fazla değere sahip olduğu iddia edildi. Meta, olayla ilgili henüz resmi bir açıklama yapmazken, şirketin sözcüsü Andy Stone, sorunun çözüldüğünü ve etkilenen hesapların güvence altına alındığını duyurdu.

Güvenlik blogu thecybersecguru.com, Meta'nın hafta sonu acil bir yama yayınladığını ve herhangi bir arka uç veritabanının ihlal edilmediğini bildirdi. Blog yazısında, Instagram'ın insan destek altyapısının zayıf olduğu vurgulandı: 'Kilitli bir hesabı kurtarmak, özellikle yüksek değerli bir hesap, otomatik bilet sistemiyle haftalarca sürebilir. Meta'nın çözümü, yaygın kurtarma iş akışlarını yönetmek için yapay zeka katmanı eklemekti. Ancak bu bot, tıpkı insan destek çalışanları gibi sosyal mühendisliğe açık hale geldi.'

Önemli Gelişmeler

Lumen'in Black Lotus Labs tehdit araştırmacısı Ian Goldin, büyük çevrimiçi platformların hassas hesap kurtarma taleplerini AI sohbet botlarına devretmesiyle yeni bir güvenlik alanına girdiğimizi söyledi. Goldin, 'AI sohbet botları, ilginç yeni bir saldırı yüzeyi oluşturuyor ve bu tür saldırıları daha sık göreceğiz' dedi. İnsan destek çalışanları nasıl kandırılabiliyorsa, AI botlar da ikna ve hileye karşı savunmasız.

Bu saldırı, çevrimiçi hesaplarınızı korumak için en güçlü çok faktörlü kimlik doğrulama (MFA) yöntemlerini kullanmanın önemini bir kez daha hatırlatıyor. Örneğin, Instagram'ın sunduğu en zayıf MFA yöntemi olan SMS ile tek kullanımlık kod bile bu saldırıyı engelleyebilirdi. Nitekim, Telegram'da yayınlanan videoda hackerlar, MFA etkin olan hesaplarda bu yöntemin işe yaramadığını itiraf etti. Güvenlik uzmanları, mümkünse geçiş anahtarı (passkey) veya güvenlik anahtarı gibi daha güçlü MFA yöntemlerinin tercih edilmesini öneriyor.

Bu olay, yapay zeka destekli sistemlerin güvenlik açıklarını ve sosyal mühendislik saldırılarına karşı ne kadar kırılgan olduğunu gösteriyor. Meta'nın acil yama yayınlaması sorunu çözmüş olsa da, benzer saldırıların diğer platformlarda da görülmesi muhtemel. Kullanıcıların, hesap güvenlik ayarlarını gözden geçirmesi ve MFA'yı etkinleştirmesi kritik önem taşıyor. Ayrıca, şifre sıfırlama gibi hassas işlemlerde AI botlarla etkileşime geçerken dikkatli olunması gerekiyor.

Kaynak: krebsonsecurity.com

Paylaş: