Meta telah mengungkapkan bahwa 20.225 akun pengguna Instagram dibajak dalam insiden baru-baru ini di mana penyerang menggunakan sistem pendukung Meta yang didukung AI untuk mengatur ulang kata sandi.
Seperti yang dilaporkan BleepingComputer seminggu lalu, pelaku ancaman mengeksploitasi kelemahan pada alat High Touch Support (HTS) perusahaansistem pendukung berbantuan AI yang membantu pengguna mendapatkan kembali akses setelah akun Instagram mereka terkunci.
Dengan mengeksploitasi fakta bahwa HTS tidak memverifikasi apakah alamat email dikaitkan dengan akun Instagram yang ditargetkan, mereka memperoleh tautan pengaturan ulang kata sandi yang memungkinkan mereka untuk masuk dan membajak akun tanpa mengaktifkan otentikasi dua faktor (2FA).
“Pengguna dapat meminta dukungan dari HTS dan, sebagai bagian dari proses tersebut, dapat meminta agar tautan pengaturan ulang kata sandi dikirimkan ke alamat email mereka. Alat itu sendiri berfungsi dengan baik dan berfungsi sebagaimana mestinya; namun karena adanya bug pada jalur kode terpisah, sistem tidak memverifikasi dengan benar bahwa alamat email yang diberikan oleh individu yang meminta pengaturan ulang kata sandi cocok dengan alamat email yang terkait dengan akun Instagram pengguna tersebut,” dikatakan Amber Hannah, penasihat umum Meta untuk hukum respons insiden, dalam surat pelanggaran data yang baru-baru ini diajukan ke Kantor Kejaksaan Agung Maine.
“Akibatnya, ketika seseorang memberikan alamat email yang sebelumnya tidak terkait dengan akun tersebut, sistem salah mengirimkan tautan pengaturan ulang kata sandi ke email yang tidak terkait tersebut daripada menolak permintaan tersebut. Hal ini memungkinkan pihak ketiga yang tidak berwenang untuk menerima tautan pengaturan ulang kata sandi untuk akun yang bukan milik mereka. Setelah mengatur ulang kata sandi, pihak yang tidak berwenang dapat masuk ke akun jika pemegang akun tidak mengaktifkan otentikasi dua faktor (2FA). “
Setelah gelombang laporan pengguna mengenai serangan ini melanda platform media sosial, Andy Stone, wakil presiden komunikasi Meta, menjawab kepada salah satu pengguna yang terkena dampak, menyatakan bahwa “masalah telah teratasi, dan kami mengamankan akun yang terkena dampak.”
BleepingComputer juga telah menghubungi Meta minggu lalu untuk mengomentari pelanggaran keamanan ini, tetapi kami belum mendapat tanggapan.
“Kami menulis surat ini untuk memberi tahu Anda bahwa kerentanan dalam alat dukungan pemulihan akun Instagram digunakan untuk berpotensi menyusupi akun Instagram dari 30 pengguna di wilayah hukum Anda. Semua akun telah diamankan untuk mencegah akses tidak sah yang berkelanjutan,” tambah Hannah. “Pada tanggal 31 Mei 2026, Meta menemukan adanya kerentanan dalam sistem pemulihan akun berbantuan AI untuk Instagram (“High Touch Support” atau “HTS”) yang dieksploitasi oleh pihak ketiga yang tidak berwenang untuk melakukan pengaturan ulang kata sandi pada akun pengguna Instagram.”
Meskipun Meta tidak merinci kapan serangan dimulai dalam surat pelanggaran tersebut, pengajuan di situs OAG Maine mengatakan pelanggaran tersebut terjadi pada 17 April, yang kemungkinan merupakan tanggal serangan pertama yang mengeksploitasi kelemahan HTS.
Perusahaan mengatakan mereka tidak memiliki informasi mengenai informasi pribadi apa yang mungkin telah diakses atau dicuri dari akun yang disusupi, namun mencatat bahwa penyerang dapat memperoleh akses ke informasi kontak pengguna Instagram yang terpengaruh (alamat email dan/atau nomor telepon), tanggal lahir, postingan dan konten media sosial (foto, video, cerita), pesan langsung dan komunikasi, aktivitas akun dan riwayat interaksi, informasi profil (biografi, foto profil), serta akun lain yang terhubung dan layanan tertaut.
Setelah mengetahui kejadian tersebut, perusahaan menonaktifkan sistem pendukung yang didukung HTS AI dan semua tautan pengaturan ulang kata sandi yang dihasilkannya untuk memastikan bahwa semua upaya pembajakan di masa depan yang merupakan bagian dari kampanye jahat yang sama akan diblokir.
Mereka juga mendaftarkan semua akun yang berpotensi dicuri ke dalam pos pemeriksaan keamanan wajib dan meminta semua pengguna yang terkena dampak untuk mengatur ulang kata sandi mereka lagi dan mengautentikasi ulang untuk mengamankan dan mendapatkan kembali kendali atas akun yang disusupi.
Sebelum meluncurkan kembali alat ini, Meta akan memperbaiki pemeriksaan otentikasi di titik masuk pemulihan Instagram untuk memastikan verifikasi alamat email yang tepat terhadap informasi akun yang ada sebelum pengaturan ulang kata sandi dimulai, tambah Meta. “Selain itu, Meta sedang melakukan tinjauan komprehensif terhadap alur pemulihan akun serupa di seluruh platform Meta untuk mengidentifikasi dan memulihkan potensi masalah apa pun.”
Sebelum kejadian ini, Irlandia juga didenda Meta $264 juta lebih dari a Pelanggaran data tahun 2018 yang mengungkap nama, alamat email, nomor telepon, dan lokasi fisik lebih dari 29 juta akun Facebook.
Meta juga didenda €265 juta ($275,5 juta) pada November 2022 gagal melindungi data pengguna Facebook dari pengikisdan €91 juta ($100 juta) lainnya untuk menyimpan kata sandi ratusan juta pengguna dalam teks biasa.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
