Pengguna Instagram terkunci setelah Meta AI disalahgunakan untuk mencuri akun

Akun beberapa pengguna Instagram dibajak setelah penyerang meyakinkan alat pendukung Meta yang didukung AI bahwa mereka adalah pemilik sah.

Dalam banyak kasus, pengguna yang terkena dampak tidak dapat memulihkan akses karena penggunaan bantuan otomatis oleh platform yang hanya melibatkan loop AI/chatbot dan tidak ada agen dukungan manusia.

Pada hari Senin, beberapa pemegang akun langka dan bernilai tinggi melaporkan tiba-tiba kehilangan akses ke akun mereka, mengklaim bahwa identitas mereka telah diverifikasi melalui pemindaian wajah dan bahwa mereka telah mengaktifkan perlindungan seperti otentikasi dua faktor (2FA).

Di antara akun-akun yang terkena dampak adalah akun yang sebelumnya digunakan oleh tim Gedung Putih pada masa Obama, salah satunya milik peneliti aplikasi Jane Manchun Wong@hei, dan @korn.

Pemilik akun @korn, yang mencatat bahwa band tersebut tidak pernah secara resmi mengklaim akun tersebut dan menggunakan akun lain, mengungkapkan rasa frustasinya terhadap mekanisme pemulihan Meta, yang telah menempatkan mereka dalam lingkaran yang membuang-buang waktu.

“Saya menghabiskan 6 jam mencoba mendapatkan dukungan manusia, dan dukungan AI Meta memberi saya 4 tautan rusak berturut-turut,” jelas pengguna yang mengidentifikasi sebagai Kornel.

“Kita berada pada titik di mana satu AI mencurinya, dan yang lain tidak dapat memperbaikinya, tidak ada manusia yang terlibat di mana pun,” kata pemilik akun @korn.

Menurut beberapa wartawan, serangan pembajakan akun itu sepele. Aktivitas tersebut melibatkan obrolan dengan asisten AI Meta, meyakinkannya bahwa penyerang adalah pemilik akun yang sah, dan menipunya agar mengubah alamat email terkait.

Proses pengambilalihan dimulai dengan pelaku ancaman mengaktifkan protokol “lupa kata sandi” karena akunnya diretas. Ketika bantuan Instagram yang didukung AI meminta pengguna untuk memverifikasi dengan selfie, penyerang menggunakan foto dari akun target, meneruskannya melalui generator video AI untuk mengubahnya menjadi animasi, dan mengunggahnya ke Meta untuk verifikasi.

Pengguna André mengatakan bahwa “AI Meta menerimanya karena tidak dapat membedakan antara selfie asli dan video wajah seseorang yang dibuat oleh AI.” Mereka juga menambahkan bahwa metode pengambilalihan melewati perlindungan 2FA.

“Kemudian Anda mencoba memulihkan akun Anda, dan Anda berbicara dengan chatbot yang tidak memiliki kemampuan untuk membantu. Anda tidak dapat melakukan eskalasi ke manusia. Anda hanya terjebak. Aset Anda hilang, dan tidak ada yang dapat dihubungi,” kata Andre.

Beberapa laporan mengklaim hal itu penyerang menggunakan VPN layanan tampak seolah-olah terhubung dari wilayah biasa target, untuk melewati pemeriksaan geolokasi yang akan memicu alur masuk yang lebih kompleks untuk keamanan tambahan.

Setelah mengubah alamat email, penyerang dapat memulai proses pengaturan ulang kata sandi dan menerima kode keamanan yang diperlukan untuk mendapatkan akses ke akun.

Beberapa laporan online mengklaim bahwa akun satu huruf @e dan @f di Instagram diperoleh melalui eksploitasi aktif. Namun, pihak lain membantah informasi ini, dengan alasan bahwa nama pengguna tersebut diamankan oleh individu yang memiliki hak internal. BleepingComputer tidak dapat memverifikasi kedua klaim tersebut secara independen.

Karena akun media sosial yang hanya berisi satu huruf sangat jarang, maka akun tersebut memiliki nilai yang tinggi di pasar gelap, biasanya mencapai puluhan ribu dolar AS.

Meskipun Meta belum menerbitkan siaran pers dengan tanggapan resmi terhadap situasi tersebut, wakil presiden komunikasi perusahaan, Andy Stone, membalas di media sosial kepada pengguna yang terkena dampak dengan menyatakan bahwa “masalah telah teratasi, dan kami mengamankan akun yang terkena dampak”.

BleepingComputer telah menghubungi Meta untuk meminta komentar, tetapi kami belum mendapat tanggapan hingga dipublikasikan.