Meta, yaklaşık 20.000 Instagram hesabının, yapay zeka destekli bir hesap kurtarma aracının kötüye kullanılmasıyla hacklendiğini duyurdu. Saldırganlar, Meta'nın sohbet robotunu kullanarak hedef hesaplara kendi e-posta adreslerini bağlamayı başardı ve bu sayede şifreleri sıfırlayarak hesapların kontrolünü ele geçirdi.
Saldırıda, Obama Beyaz Sarayı, Sephora ve ABD Uzay Kuvvetleri Başçavuşu John Bentivegna gibi yüksek profilli hesaplar da dahil olmak üzere birçok hesabın ele geçirildiği ve karanlık ağda satıldığı bildirildi. Siber suçlular, saldırının nasıl yapıldığını gösteren videolar ve talimatlar paylaştı.
Meta, Maine Başsavcılığı'na yaptığı bildirimde, potansiyel olarak etkilenen bireylerin toplam sayısının 20.225 olduğunu belirtti. Ancak Meta'nın olay müdahale hukuk danışmanı Amber Hannah, bu sayının daha küçük olabileceğini ifade etti. Şirket, şifre sıfırlama aracı üzerinden şifreleri sıfırlanan, iki faktörlü kimlik doğrulama (2FA) etkin olmayan ve hesaplarına büyük olasılıkla saldırganlar tarafından erişilen kullanıcıları saydı.
Meta'nın açıklamasına göre, Yüksek Dokunuş Desteği (HTS) aracındaki güvenlik açığı 31 Mayıs'ta keşfedildi. Araç, kullanıcıların kilitlendikten sonra hesaplarına yeniden erişmelerine yardımcı olmak için tasarlanmıştı. Saldırganlar, araçtaki bir hatayı kullanarak Instagram şifrelerini sıfırladı. Hata, sistemin şifre sıfırlama talebinde bulunan kişinin e-posta adresini, hesabın kayıtlı e-posta adresiyle doğru şekilde eşleştirememesine neden oldu.
Meta, ele geçirilen hesaplardaki kişisel bilgilere erişilip erişilmediğinin net olmadığını belirtti. Ancak saldırganların profil bilgileri, e-posta adresleri, telefon numaraları, doğum tarihleri, doğrudan mesajlar, sosyal medya gönderileri ve hesap etkileşim geçmişine erişmiş olabileceği düşünülüyor. Şirket, kullanılan aracı devre dışı bıraktı ve güvenlik açığı giderilene kadar tekrar etkinleştirmeyeceğini açıkladı. Etkilenen hesaplar zorunlu güvenlik kontrolüne alındı ve şifreleri sıfırlandı.