Meta — perusahaan induk Facebook, Instagram, dan WhatsApp — terus mengintegrasikan AI ke seluruh platformnya. Sayangnya, tampaknya perusahaan tersebut mengabaikan celah besar: chatbot dukungan AI Meta, ternyata bisa dikelabui untuk memberikan akses login ke akun Instagram mana pun kepada pengguna yang tidak berwenang.
Dalam beberapa hari terakhir, sejumlah akun Instagram dengan jumlah pengikut yang sangat besar diretas. Akun Instagram Obama White House, dengan 2,4 juta pengikut, berhasil dikompromikan dan menggunggah keterangan pada hari Minggu yang menyatakan: “Gedung Putih berada di bawah kendali Syiah.” Akun-akun lain, seperti akun Instagram resmi milik Chief Master Sergeant of Space Force, juga ikut diretas.
Tidak lama kemudian, para detektif di media sosial mulai membagikan berita tentang akun-akun yang diretas ini beserta tangkapan layar yang memperlihatkan metode yang diduga digunakan untuk menguasainya.
Para peretas mengatakan bahwa mereka memanfaatkan eksploitasi yang mengelabui chatbot dukungan AI Meta untuk begitu saja menyerahkan akses akun. Pelaku jahat hanya perlu memberi tahu chatbot AI tersebut bahwa mereka perlu mereset kata sandi akun Instagram target. Namun, peretas juga memberi tahu chatbot bahwa mereka membutuhkan email untuk mereset kata sandi — yang berisi kode verifikasi untuk mengganti kata sandi — dikirimkan ke alamat email baru.
Alamat email itu, tentu saja, milik para peretas, bukan pemilik akun yang sebenarnya. Chatbot tersebut sepertinya mau saja menuruti permintaan peretas dan memberikan mereka halaman untuk mereset kata sandi akun tersebut.
Pada dasarnya, para peretas ini menggunakan taktik rekayasa sosial yang sudah dikenal luas terhadap sebuah chatbot AI.
Beberapa tangkapan layar yang memandu proses tersebut diambil dari saluran Telegram tempat para peretas menjual hasil eksploitasi mereka di pasar gelap. Tangkapan layar lainnya diambil oleh pengguna yang mengaku berhasil meniru peretasan ini.
Kerentanan ini sangat mengkhawatirkan karena tidak ada yang bisa dilakukan oleh pemilik akun Instagram yang ditargetkan untuk mencegahnya. Chatbot AI tersebut tampaknya dapat melewati langkah-langkah autentikasi dua faktor demi menuruti permintaan peretas.
Sejak berita tentang akun-akun yang diretas ini menyebar ke publik melalui media sosial, Meta sepertinya sudah mengetahui dan memperbaiki kerentanan tersebut.
Mashable telah menghubungi Meta dengan pertanyaan seputar insiden ini, dan kami akan memperbarui cerita ini jika kami menerima informasi lebih lanjut. Namun demikian, di media sosial, Wakil Presiden Komunikasi Meta, Andy Stone, mengakui adanya eksploitasi pada dukungan AI Meta ini.
“Masalah ini telah diselesaikan dan kami mengamankan akun-akun yang terdampak,” kata Stone dalam sebuah balasan kepada seorang pengguna di X.
Belum jelas berapa banyak akun yang terdampak oleh eksploitasi ini.