Telset.id β Celah keamanan kritis ditemukan pada Meta AI yang justru dimanfaatkan peretas untuk membajak puluhan akun Instagram, termasuk milik sejumlah tokoh dan perusahaan besar. Ironisnya, bot dukungan buatan Meta ini memproses permintaan perubahan email tanpa verifikasi kata sandi atau autentikasi dua faktor (2FA) yang memadai.
Insiden ini pertama kali ramai dilaporkan pada akhir pekan lalu, dengan banyak pengguna menunjukkan demonstrasi langkah-langkah sederhana untuk mengambil alih akun Instagram. Metodenya sangat mudah: peretas cukup meminta Meta AI untuk mengganti alamat email akun target, dan bot tersebut langsung memprosesnya. Satu-satunya syarat yang diperlukan adalah koneksi VPN dengan lokasi yang dekat dengan pemilik akun korban.
Menurut laporan dari MacRumors, Meta AI menggunakan verifikasi berbasis lokasi untuk memproses permintaan perubahan email. Meta sendiri secara terbuka mengakui hal ini dan bahkan memamerkannya di blog resmi dengan pernyataan, βSistem kami mengenali perangkat yang biasa Anda gunakan dan lokasi yang dikenal lebih baik dari sebelumnya.β
Dalam beberapa kasus, Meta AI meminta verifikasi selfie. Namun, celah ini pun mudah diakali dengan menggunakan AI lain untuk menghasilkan gambar wajah pemilik akun target. Hal ini menunjukkan betapa rapuhnya sistem keamanan yang diterapkan oleh Meta.
Baca Juga:
Akun Besar Jadi Sasaran
Serangan ini tidak hanya menargetkan pengguna biasa. Sejumlah akun profil tinggi juga dilaporkan berhasil dibajak. Di antaranya adalah akun milik Sephora, Chief Master Sergeant of the Space Force, peneliti Jane Manchun Wong, pengembang Albert Renshaw yang memiliki username @albert, dan akun arsip Barack Obama White House. Tidak ada satu pun dari korban-korban ini yang bisa dianggap remeh, dan banyak pengguna lain juga melaporkan akun mereka dicuri dengan cara serupa.
Kejadian ini mempertegas bahwa kerentanan AI bukan sekadar isu teoritis, melainkan ancaman nyata yang sudah berdampak luas. Meta harus segera memperketat protokol keamanan untuk mencegah insiden serupa terulang kembali.
Bot AI yang Tidak Membantu Korban
Meta meluncurkan bot dukungan AI pada Desember tahun lalu dengan tujuan memudahkan pengguna Instagram dan, tentu saja, menghemat biaya dari agen dukungan manusia. Bot ini dapat digunakan untuk berbagai hal, termasuk melaporkan penipuan, mendapatkan informasi tentang fitur terbaru, dan yang terpenting β mereset kata sandi. Fungsi reset kata sandi inilah yang menjadi titik lemah yang dieksploitasi oleh peretas.
Yang lebih membuat frustrasi dan ironis adalah, pengguna yang akunnya dicuri tidak dapat menggunakan bot AI tersebut untuk mendapatkan kembali akses mereka. Tidak ada opsi untuk menghubungi dukungan manusia juga tersedia. Situasi ini membuat korban merasa terjebak tanpa jalan keluar yang jelas.
Insiden ini menjadi pengingat keras bahwa meskipun AI dapat menawarkan efisiensi, keamanan tidak boleh dikorbankan demi kemudahan atau penghematan biaya. Meta kini berada di bawah tekanan untuk segera menambal celah keamanan ini dan memulihkan kepercayaan penggunanya.
Ke depannya, Meta perlu memastikan bahwa setiap permintaan perubahan data sensitif, seperti alamat email, memerlukan verifikasi berlapis yang tidak bisa dengan mudah dilewati. Jika tidak, insiden serupa bukan tidak mungkin akan terulang dan menimbulkan kerugian yang lebih besar.
Bagi pengguna Instagram, disarankan untuk segera mengaktifkan autentikasi dua faktor (2FA) dan waspada terhadap aktivitas mencurigakan pada akun. Sementara itu, kita tunggu langkah konkret dari Meta untuk mengamankan platformnya dari ancaman yang memanfaatkan kecerdasan buatannya sendiri.
Komentar
Belum ada komentar.