Instagram telah memperbaiki masalah keamanan akun. Menurut laporan TechCrunch, penyerang sempat dapat menambahkan alamat email baru ke akun orang lain dengan memanfaatkan bot layanan pelanggan AI Meta, yang kemudian memicu reset kata sandi dan akhirnya mengambil alih akun tersebut.
Beberapa pengguna melaporkan akun mereka telah diretas
Peristiwa ini menarik perhatian pada akhir pekan. Beberapa pengguna di Reddit dan X melaporkan bahwa akun mereka disusupi, termasuk akun Instagram Gedung Putih masa pemerintahan Obama serta akun Master Sergeant John Bentinvegna dari Angkatan Luar Angkasa Amerika Serikat. Peneliti keamanan Jane Wong juga menyatakan bahwa akunnya pernah diubah kata sandinya dan diambil alih tanpa sepengetahuannya.
Proses serangan melewati kendali email asli
Laporan menunjukkan bahwa penyerang terlebih dahulu menyamarkan lokasi target melalui VPN untuk mengurangi kemungkinan memicu sistem keamanan otomatis platform. Selanjutnya, penyerang memulai percakapan dengan Meta AI Support Assistant, meminta untuk menambahkan alamat email baru ke akun target.
Dalam video demonstrasi, bot layanan pelanggan mengirimkan kode verifikasi ke alamat email yang diberikan oleh penyerang. Penyerang kemudian memasukkan kembali kode verifikasi tersebut ke dalam bot, dan sistem kemudian menampilkan tombol "Reset Password". Setelah langkah ini selesai, penyerang dapat menetapkan kata sandi baru dan mengambil kendali atas akun tersebut.
TechCrunch menyatakan bahwa mereka telah memverifikasi alamat email yang ditampilkan secara publik dalam video, dan mengonfirmasi bahwa alamat email tersebut memang menerima kode verifikasi. Selama proses ini, penyerang tidak perlu terlebih dahulu menguasai email asli yang terikat pada korban.
Meta menyatakan kerentanan telah diperbaiki
Seorang juru bicara Instagram, Andy Stone, pada hari Senin merespons posting terkait di platform sosial bahwa masalah ini telah diperbaiki. Namun, Meta belum menjelaskan berapa banyak pengguna yang terdampak.
Dari informasi yang telah diungkap, insiden ini menunjukkan bahwa alat AI customer service yang diberi wewenang untuk mengubah informasi penting akun dapat dimanfaatkan untuk mengambil alih akun jika proses verifikasi identitas tidak memadai. Hingga rilis laporan ini, Meta belum memberikan tanggapan segera terhadap permintaan komentar lebih lanjut dari TechCrunch.