Meta'nın Instagram destek botunun açığını kullanarak 20 bin hesap ele geçirdiler

Meta'nın Instagram'ın otomatik destek sistemi, siber suçluların 20 bin kullanıcı hesabını ele geçirmesine olanak sağladı. Saldırı kapsamında Beyaz Saray, ABD Uzay Kuvvetleri ve güvenlik araştırmacıları gibi üst düzey hesaplar da bulunuyordu. Şirket sorunu tespit ettikten sonra düzeltici adımlar aldığını duyurmuş, etkilenen hesap sahiplerine bildirim göndermiştir.

Yapay zeka botuna karşı sosyal mühendislik saldırısı

Meta tarafından geliştirilen ve Instagram kullanıcı destek hizmetlerinde görevlendirilen AI bot, belirli güvenlik protokollerini atlamak için manipüle edilmiş isteklerle kandırılmıştır. Saldırganlar, bot sisteminin hesap sahipliğini doğrulamak için kullandığı mekanizmaları künstü bir şekilde özellikleriyle açık noktalarını keşfederek, gerçek sahibi olmadıkları halde hesap erişim taleplerini onaylatmışlardır.

Bu tür saldırılara sosyal mühendislik (İnsan psikolojisini manipüle ederek güvenlik açıklarından yararlanma yöntemi) denilmektedir. Bot sistemleri, insan operatörlerden farklı olarak tutarlı davranış sergilemeleri nedeniyle bazen bu tür manipülasyonlara daha açık hale gelmektedir.

Etkilenen hesaplar arasında devlet kurumları da vardı

Meta'nın güvenlik ekibi tarafından yapılan inceleme sonrasında, ele geçirilen hesapların yalnızca bireysel kullanıcılarla sınırlı olmadığı ortaya çıkmıştır. Beyaz Saray'ın kurumsal Instagram hesabı, ABD Uzay Kuvvetleri (United States Space Force) hesabı ve tanınmış güvenlik uzmanı Jane Wong'un kişisel hesabı da bu ihlal kapsamında yer almıştır.

Böyle yüksek profilli hesapların ele geçirilmesi, Meta'nın destek sisteminin ne kadar geniş bir kitleyi etkileyebileceğini göstermektedir. Kurumsal hesapların güvenliği, yalnızca gizlilik değil, aynı zamanda ulusal güvenlik ve iletişim bütünlüğü bakımından da kritik önem taşımaktadır.

Meta'nın yanıt ve alınan önlemler

Şirket, sorunu kendi izleme sistemleriyle fark ettikten sonra, yapay zeka sistemi üzerinde çalışmalar başlatmıştır. Etkilenen tüm hesaplar kurtarılmış, hesap sahiplerine olay hakkında detaylı bilgiler iletilmiştir. Meta, destek botunun karar verme mekanizmalarında ve doğrulama protokollerinde iyileştirmeler yaptığını açıklamıştır.

Güvenlik araştırmacıları, yapay zeka tabanlı sistemlerin hala geleneksel siber güvenlik açıklarına maruz kaldığını ve bu sistemlerin de sürekli gözetim altında tutulması gerektiğini vurgulamaktadırlar.

Yapay zeka ve güvenlik açıkları

Bu olay, büyük teknoloji şirketlerinin müşteri hizmetlerini otomatikleştirmek amacıyla dağıttıkları AI sistemlerinin, tasarımcılarının öngörmediği şekillerde manipüle edilebileceğini göstermektedir. Yapay zeka modelleri, eğitildikleri senaryolar dışında karşılaştık anda beklenmedik davranışlar sergileyebilmektedir.

Uzmanlar, şirketlerin AI güvenliğine yatırım yaparken, bu sistemlerin sadece teknik saldırılara değil, sosyal mühendislik girişimlerine de karşı sağlamlaştırılması gerektiğine dikkat çekmektedir.