Peretas mengatakan mereka menipu chatbot AI Meta agar memberi mereka akses ke akun Instagram orang lain — dan yang harus mereka lakukan hanyalah bertanya.
Selama akhir pekan, orang-orang mengatakan mereka membajak beberapa Instagram akun dengan meminta chatbot dukungan Meta untuk menautkan akun Instagram target ke alamat email baru, sesuai dengan video dan tangkapan layar interaksi yang beredar online. Itu demonstrasi menunjukkan chatbot mengatakan telah mengirimkan kode verifikasi ke email baru. Setelah orang tersebut memasukkan kode, chatbot menampilkan opsi untuk mereset kata sandi akun.
Akun-akun Gedung Putih milik Barack Obama, toko ritel kecantikan Sephora, dan kepala sersan utama Angkatan Luar Angkasa AS, John Bentivegna, tampaknya telah disusupi dalam peretasan tersebut, menurut tangkapan layar halaman-halaman mereka dan pemberitaan dari 404 media. Tak satu pun perwakilan akun yang terpengaruh menanggapi permintaan dari Business Insider. Pada Selasa sore, ketiga akun tersebut tampaknya telah dipulihkan.
Tidak jelas berapa total akun yang terkena dampaknya. Business Insider tidak dapat memverifikasi metode peretas secara independen.
“Masalah ini telah diselesaikan dan kami mengamankan akun yang terkena dampak,” tulis wakil presiden Meta, Andy Stone, dalam postingan Monday X. Perusahaan tidak menanggapi pertanyaan Business Insider.
Meta chatbot ibarat manusia yang ‘tidak berpengalaman’
Para profesional keamanan siber mengatakan kepada Business Insider bahwa eksploitasi Meta chatbot adalah pengingat akan risiko pengalihan fungsi-fungsi penting ke AI.
“Sayangnya, platform media sosial hanya berfokus pada inovasi AI sebelum memperkuat keamanan akun penggunanya. Artinya, para penjahat dan peretas pasti akan, dan terus-menerus, mengambil keuntungan dari hal ini,” kata Jake Moore, spesialis keamanan siber global di ESET.
Tom Van de Wiele, pendiri perusahaan keamanan Hacker Minded, mengatakan ini adalah contoh mentalitas “bergerak cepat dan hancurkan” yang menjadi bumerang.
“Meta mengerahkan agen AI untuk menangani dukungan pelanggan secara global, namun gagal menerapkan batasan keras mengenai apa yang sebenarnya dapat diakses dan diubah oleh AI,” katanya.
Tomas Stamulis, kepala petugas keamanan di perusahaan keamanan siber Surfshark, membandingkan asisten AI Meta dengan “seorang karyawan yang tidak berpengalaman”. Meskipun manusia pada akhirnya mungkin menyadari ada sesuatu yang tidak beres, katanya, AI tidak menghentikan pembicaraan.
Semakin banyak perusahaan yang menggunakan AI untuk menjadi lebih efisien, hal ini juga terjadi menciptakan sakit kepala untuk beberapa profesional keamanan siber. Peretas semakin banyak menggunakan AI untuk meningkatkan serangan siber, dan, dalam kasus seperti asisten AI Meta, menggunakan AI sebagai jalan masuknya.
“Pelajaran utamanya adalah AI tidak boleh menjadi penentu identitas terakhir,” kata Marijus Briedis, CTO di NordVPN, seraya menambahkan bahwa pengguna harus menggunakan alat seperti autentikasi multifaktor untuk membantu mengamankan akun mereka.
Salah satu dari banyak orang yang memposting di X atau Reddit bahwa akun Instagram mereka telah disusupi adalah Jane Wong, seorang peneliti keamanan yang berbasis di San Francisco. Dia mengatakan kepada Business Insider bahwa dia menerima pesan teks dari WhatsApp untuk kode login Instagram-nya pada Sabtu malam, yang dikirim oleh akun resmi Instagram. Dia bilang dia tidak memintanya.
Wong kemudian mengetahui bahwa kata sandi Instagram-nya telah diubah tanpa sepengetahuannya. Dia berhasil mengakses akunnya melalui opsi “lupa kata sandi”, tetapi terus menerima pesan kode login selama akhir pekan.
“Meskipun serangan siber bukanlah hal yang aneh bagi saya, saya akan sangat menghargai jika Meta dapat memberikan kejelasan lebih lanjut mengenai insiden keamanan ini lebih awal,” katanya.
Meta telah memanfaatkan AI sepenuhnya. Raksasa teknologi ini telah mengatur ulang beberapa tim menjadi menjadi “asli AI”, memindahkan ribuan staf ke proyek AI, dan menanamkan AI ke dalam produk dan layanannya.
Pada bulan Maret, Meta diluncurkan asisten dukungan AI-nya, yang dikatakan akan memberikan “bantuan 24/7 untuk masalah akun seperti memperbarui kata sandi dan pengaturan profil Anda.”
Bulan lalu, Meta memberhentikan sekitar 8.000 stafnya. Business Insider melaporkan bahwa staf yang terkena dampak termasuk mereka yang berada di dalamnya Tim Integritas dan keamanan siber Metayang bertanggung jawab untuk melindungi platform perusahaan.
Baca selanjutnya
Robert Scammell adalah editor senior untuk tim teknologi, startup, dan VC di biro Business Insider London, yang mengawasi liputan tim di perusahaan seperti Meta, OpenAI, dan Google. Sebelum bergabung dengan Business Insider, Robert adalah editor publikasi teknologi UKTN.
