Kamu mungkin pernah dengar bahwa beberapa akun Instagram terkenal diretas akhir pekan lalu. Akun Gedung Putih Barack Obama barangkali yang paling menyita perhatian.
Yang mungkin belum kamu ketahui, peretas itu tidak perlu bersusah payah. Chatbot dukungan pelanggan berbasis AI dari Meta pada dasarnya menyerahkan akun-akun tersebut begitu saja.
Menurut laporan 404 Media, peretas hanya perlu meminta asisten chatbot AI Meta untuk mengganti alamat surel yang terasosiasi dengan akun sasaran. Peretas lantas mengelabui bot tersebut untuk memulai ulang kata sandi tanpa verifikasi identitas. Si AI kemudian mengirimkan kode akses ke alamat surel milik peretas sendiri. Kode itu lalu disalin oleh peretas ke dalam ruang obrolan. Hal ini memicu AI untuk menampilkan tombol “Atur Ulang Kata Sandi”, yang digunakan untuk mengganti kata sandi dan mengambil alih akun.
Bahkan ada video proses peretasan yang sudah disunting di X. Peretas memakai VPN agar seolah-olah mereka berada di lokasi target, dan AI langsung mengabulkan permintaan tersebut. Peretas sama sekali tidak perlu siasat punya alamat surel atau kata sandi asli pemilik akun.
Pelanggaran keamanan ini merambah banyak akun, termasuk peritel kosmetik Sephora dan Sersan Master Angkatan Luar Angkasa AS, John Bentivegna. Tak jelas berapa total jumlah akun yang terdampak, tetapi banyak pengguna melaporkan diretas di Reddit dan X selama akhir pekan, termasuk peneliti keamanan Jane Wong.
Jane berkata di X, “Kata sandi saya diubah tanpa sepengetahuan saya, dan sepanjang kemarin saya terus dapati berbagai percobaan reset kata sandi. Saya juga terus keluar masuk dari apl iOS Instagram. Cukup mengkhawatirkan.”
Bagaimana peretasan ini terjadi?
Masalahnya nyaris sepenuhnya karena dukungan pelanggan Meta kini dijalankan oleh AI. Raksasa teknologi ini sudah bercolah alih sejak Maret, dan menyebutnya memungkinkan “bantuan 24/7 untuk masalah akun macam memperbarui kata sandi dan pengaturan profil.” Namun dengan chatbot AI yang mengelola semua tahapan akhir hingga tuntas, tidak ada manusia yang turun tangan ketika aktivitas mencurigakan mulai terjadi. Hal ini memuungkinkan peretas menjalankan serangan rekayasa sosial dan melakukannya berkali-kali sebelum ada yang menyadari.
Menurut Cybersecurity News, peneliti ZachXBT dan Dark Web Informer yang pertama mengnyekspos celah keamanan ini di muka publik, tetapi tidak sebelum sejumlah akun penting digasak. Dark Web Informer memantau penjualan akun-akun penting tersebut secara langsung. Beberapa akun dipaketkan dengan harga jual $1 juta. Juru bicara Instagram Andy Stone mengatakan dalam unggahan di X bahwa celah ini sudah diperbaik. 404 Media melaporkan bahwa Meta kini “mengamankan akun yang terdampak.” Meta belum menanggapi permintaan komentar kami.
Cara melindungi diri dari serangan serupa
Eksploit rekayasa sosial ini punya satu kelemahan utama: tidak mempan pada akun yang mengaktifkan autentikasi multifaktor. Akun-akun itu sudah punya kode otentikasi atau menerimanya melalui SMS. Tanpa pengaturan MFA, kode sekali pakai semacam itu seolah-olah secara baku dikirmkan ke alamat surel pilihan, sehingga peretas itu langsung bisa menggunakannya).
Cara terbaik melindungi diri adalah mengaktifkan autentikasi multifaktor, yang tersedia di semua platform besutan Meta. Ini tidak akan melindungi 100%, tetapi jelas lebih baik dibanding hanya pakai kata sandi saja, dan seandainya kamu memakainya ketika itu, pastilah curang ini bisa dihentikan sedari awal. Ada langkah keamanan tambahan lain untuk (baca tips lengkap keamanan akunnya disini). Misalnya penggunaan passkey dan surel pribadi buat mempersulit pencurakan riwayat loginmu.