Telset.id – Meta mengonfirmasi bahwa peretas kemungkinan besar menguasai 20.225 akun Instagram dengan mengeksploitasi celah pada chatbot AI dukungan pelanggan perusahaan. Insiden ini terungkap melalui pemberitahuan yang diajukan Meta ke negara bagian Maine, AS, dan pertama kali dilaporkan oleh Bleeping Computer.
Menurut pemberitahuan tersebut, Meta menyalahkan “bug” yang memungkinkan penyerang membajak akun tanpa perlu verifikasi dua langkah (2FA). Caranya cukup dengan meminta chatbot untuk mereset kata sandi. Celah ini sangat kritis karena memungkinkan siapa pun yang mengetahui nama pengguna untuk mengambil alih akun hanya dengan menyediakan alamat email yang tidak terkait dengan akun tersebut.
“Alat itu sendiri bekerja dengan baik dan berfungsi sebagaimana mestinya; namun, karena bug di jalur kode terpisah, sistem tidak memverifikasi dengan benar bahwa alamat email yang diberikan oleh individu yang meminta pengaturan ulang kata sandi cocok dengan alamat email yang terkait dengan pengguna akun Instagram tersebut,” tulis Meta dalam pemberitahuan resminya. “Akibatnya, ketika seorang individu memberikan alamat email yang sebelumnya tidak terkait dengan akun, sistem secara tidak benar mengirimkan tautan pengaturan ulang kata sandi ke email yang tidak terkait tersebut, bukan menolak permintaan. Ini memungkinkan pihak ketiga yang tidak sah untuk menerima tautan pengaturan ulang kata sandi untuk akun yang bukan milik mereka.”
Serangan ini pertama kali terdeteksi pada 31 Mei, dan Meta mengklaim telah “menyelesaikan” insiden tersebut pada 1 Juni. Meskipun jendela waktu serangan sangat singkat, dampaknya cukup luas. Beberapa akun Instagram profil tinggi ikut terdampak, termasuk akun Gedung Putih lama mantan Presiden Barack Obama, Kepala Sersan Utama Angkatan Luar Angkasa AS John F. Bentivegna, dan Sephora.
Fakta bahwa akun-akun publik figur besar ikut dibajak menunjukkan betapa seriusnya celah ini. Peretas tidak perlu menjadi ahli keamanan siber; mereka cukup berinteraksi dengan chatbot AI dan memberikan alamat email yang salah. Ini adalah contoh nyata bagaimana asisten AI yang dirancang untuk memudahkan pengguna justru bisa menjadi pintu masuk bagi peretas.
Dalam pemberitahuan tersebut, Meta menambahkan bahwa pihaknya “tidak mengetahui” apakah ada data pribadi yang diakses sebagai akibat dari eksploitasi ini. Namun, perusahaan mengakui bahwa pembajak akun bisa saja memperoleh alamat email, nomor telepon, tanggal lahir, unggahan media sosial, pesan langsung, informasi profil, aktivitas akun, dan akun yang terhubung. Data-data ini sangat berharga dan bisa digunakan untuk serangan phishing lebih lanjut atau bahkan pencurian identitas.
Baca Juga:
Pemberitahuan tersebut menyebutkan bahwa 30 dari pengguna yang terdampak tinggal di Maine. Angka 20.225 merujuk pada “pengguna yang kata sandinya direset melalui alat dukungan, tidak mengaktifkan 2FA di akun mereka, dan yang akun Instagramnya kemungkinan diakses oleh pihak yang tidak sah.” Meta menekankan bahwa angka ini adalah “batas atas,” karena beberapa akun mungkin saja diakses secara sah oleh pemiliknya.
Langkah Tanggap Darurat Meta
Meta segera mengambil tindakan setelah mengetahui celah ini. Perusahaan menonaktifkan alat dukungan AI-nya dan menghapus jalur kode yang bermasalah. Selain itu, Meta membatalkan semua tautan pengaturan ulang kata sandi yang dihasilkan menggunakan eksploitasi tersebut. Langkah paling penting adalah Meta mendaftarkan semua akun yang berpotensi terdampak “ke dalam pos pemeriksaan keamanan wajib yang memerlukan autentikasi sebelum akses akun apa pun.”
Ini berarti pengguna yang akunnya mungkin dibajak harus melewati proses verifikasi tambahan sebelum bisa masuk kembali. Meskipun langkah ini merepotkan, ini adalah prosedur standar untuk memastikan bahwa akun kembali ke pemilik yang sah. Perusahaan juga telah mengirimkan pemberitahuan kepada pengguna yang terdampak.
Insiden ini menyoroti risiko keamanan yang melekat pada penggunaan AI dalam layanan pelanggan. Ketika sebuah perusahaan mengandalkan AI untuk menangani permintaan sensitif seperti reset kata sandi, setiap bug kecil bisa berakibat fatal. Dalam kasus ini, bug pada verifikasi alamat email memungkinkan peretas untuk mengambil alih ribuan akun hanya dalam hitungan jam.
Pelajaran penting dari insiden ini adalah pentingnya mengaktifkan autentikasi dua faktor (2FA). Meta mencatat bahwa semua akun yang dibajak tidak memiliki 2FA yang aktif. Jika pengguna mengaktifkan 2FA, bahkan jika peretas berhasil mendapatkan tautan reset kata sandi, mereka tetap tidak bisa masuk karena memerlukan kode verifikasi tambahan.
Bagi pengguna Instagram, langkah pertama yang harus dilakukan adalah memeriksa apakah akun Anda termasuk yang terdampak. Meta telah mengirimkan pemberitahuan langsung ke pengguna yang mungkin terkena dampak. Jika Anda menerima email atau notifikasi dari Meta tentang hal ini, segera ikuti instruksi untuk mengamankan akun Anda.
Selain itu, pastikan untuk mengaktifkan 2FA di semua akun media sosial Anda. Ini adalah lapisan keamanan tambahan yang sangat efektif mencegah pembajakan, bahkan jika kata sandi Anda bocor. Jangan gunakan kata sandi yang sama untuk beberapa akun, dan pertimbangkan untuk menggunakan pengelola kata sandi untuk membuat dan menyimpan kata sandi yang kuat.
Insiden ini juga menjadi pengingat bagi perusahaan teknologi bahwa fitur AI harus diuji secara ketat sebelum dirilis ke publik. Sebuah bug kecil dalam verifikasi alamat email bisa menyebabkan kebocoran data massal dan merusak kepercayaan pengguna. Meta telah mengambil langkah yang tepat dengan menonaktifkan alat tersebut dan memperbaiki bug, tetapi reputasi perusahaan tetap tercoreng.
Ke depannya, Meta perlu memastikan bahwa sistem AI mereka memiliki lapisan keamanan yang lebih kuat, terutama untuk fungsi-fungsi sensitif seperti reset kata sandi. Verifikasi multi-langkah harus menjadi standar, bukan pengecualian. Pengguna juga harus diedukasi tentang pentingnya keamanan akun dan cara melindungi diri dari serangan serupa.
Dengan jumlah korban mencapai 20.225 akun, termasuk akun-akun profil tinggi, insiden ini pasti akan menjadi studi kasus dalam industri keamanan siber. Ini menunjukkan bahwa bahkan perusahaan sebesar Meta pun tidak kebal dari bug sederhana yang bisa dieksploitasi dengan mudah. Yang terpenting sekarang adalah memastikan bahwa pelajaran dari insiden ini tidak dilupakan.
Komentar
Belum ada komentar.