Hackerlar Meta'nın yapay zekasını 'aldatarak' Instagram hesaplarının kontrolünü ele geçirdi.

Tuoi Tre Online'ın araştırmasına göre, çeşitli uluslararası teknoloji web siteleri, saldırganın Meta'nın chatbot'unu manipüle ederek hedef hesaba yeni e-posta adresleri eklediğini ve ardından şifre sıfırlama işlemini kullanarak hesabın kontrolünü ele geçirdiğini öne sürüyor.

Bu olay, özellikle sohbet botlarının kimlik doğrulama, kurtarma bilgilerini değiştirme veya hesap kurtarma gibi hassas görevlerle bağlantılı olduğu durumlarda, işletmelerin yapay zekayı müşteri hizmetlerine entegre etme dalgasında yeni bir riski ortaya koymaktadır.

Özellikle belirtmek gerekirse, bu tür saldırılar mutlaka kötü amaçlı yazılım, kimlik avı bağlantıları veya kurbanın orijinal e-posta adresine erişim gerektirmez. Bunun yerine, bilgisayar korsanları platformun kendi otomatik destek mekanizmasını istismar ederek , sohbet robotunun titiz bir kimlik doğrulama sürecine tabi olması gereken eylemleri gerçekleştirmesine neden olurlar.

Etkilenen hesaplar arasında, eski Başkan Barack Obama döneminden kalma Beyaz Saray'ın eski Instagram hesabı, Sephora'nın hesabı ve ABD Uzay Kuvvetleri'nden üst düzey bir yetkilinin hesabı gibi birçok önemli hesap bulunduğu bildiriliyor. Bazı hesapların içeriği, ele geçirildikten sonra değiştirilmiş veya alakasız mesajlar yayınlamak için kullanılmış.

Meta, sorunun çözüldüğünü ve şirketin etkilenen hesapları koruma altına aldığını belirtti. Ancak bu olay, hesap kurtarma sürecindeki hassas adımların yapay zekaya emanet edilip edilmemesi gerektiği sorusunu hâlâ gündeme getiriyor.

Esasen, bu geleneksel anlamda karmaşık bir siber saldırı değil. Hackerların şifrelemeyi kırmaları veya sunuculara sızmaları gerekmiyor. Sistemin, kendileriyle iletişime geçen kişinin meşru hesap sahibi olduğuna inanmasını sağlamak için tasarlanmış isteklerle chatbot'u "aldatıyorlar".

Güvenlik uzmanları bu tür saldırıları, komut satırı enjeksiyonuna benzer bir yapay zeka manipülasyonu biçimi olarak adlandırıyor. Tipik sohbet botlarında sonuç sadece yanlış bir cevap olabilir. Ancak bir sohbet botu, hesap bilgilerini değiştirme, e-postayı sıfırlama veya parola kurtarma konusunda yardımcı olma yetkisine sahip bir sisteme bağlı olduğunda, tek bir yanlış cevap gerçek bir güvenlik olayına dönüşebilir.

Bu olay, müşteri desteği ve hesap güvenliği arasındaki sınırların giderek bulanıklaştığını da vurguluyor. Daha önce, kurtarma e-postalarını değiştirme, şifreleri sıfırlama veya hesap sahipliğini doğrulama gibi işlemler, bazen insan gözetimi de içeren çok katmanlı süreçler gerektiriyordu. Yapay zeka otomasyonuyla birlikte, sistemlerin yalnızca sohbet robotlarının "bağlamsal anlayışına" güvenmek yerine daha güçlü güvenlik önlemlerine ihtiyacı var.

Kullanıcılar hesaplarını korumak için neler yapabilir?

Ortalama kullanıcılar için bu olay, şüpheli bağlantılara tıklamasalar veya şifrelerini başkalarıyla paylaşmasalar bile sosyal medya hesaplarının tehlikeye girebileceğini hatırlatıyor. Eğer güvenlik açığı platformun destek sürecindeyse, bilgisayar korsanları hesaba erişim sağlamak için bir çözüm yolu bulabilirler.

Instagram kullanıcıları, tercihen SMS yoluyla kod almak yerine bir kimlik doğrulama uygulaması kullanarak iki faktörlü kimlik doğrulamayı etkinleştirmelidir. Bu, şifrenizin ele geçirilmesi veya kurtarma işlemi sırasında hesabınızda değişiklik yapılması durumunda çok önemli bir koruma katmanıdır. Ayrıca, hesabınıza bağlı e-posta ve telefon numarasını kontrol ederek, yabancı bilgilerin eklenmediğinden emin olmalısınız.

Kullanıcılar ayrıca oturum açma işlemlerini, hesaba erişen cihazları ve üçüncü taraf uygulamaların izinlerini düzenli olarak gözden geçirmelidir. Hesap şifrelerinin değiştirildiğine, yeni bir e-posta adresinin eklendiğine veya alışılmadık bir cihazdan giriş yaptıklarına dair bir e-posta bildirimi alırlarsa, bunu görmezden gelmek yerine hemen ele almalıdırlar.

Özellikle çok sayıda takipçisi olan hesaplar, satış hesapları, içerik üreticileri veya markalar için riskler çok yüksektir. Ele geçirilen bir Instagram hesabı, müşterileri dolandırmak, kötü amaçlı içerik yaymak veya itibara zarar vermek için kullanılabilir.

Meta'nın yaşadığı olay, teknoloji endüstrisindeki daha büyük bir zorluğu yansıtıyor: Yapay zeka giderek daha fazla operasyonel sürece entegre ediliyor, ancak tüm süreçler tamamen makinelere devredilemiyor. Hesap güvenliğiyle ilgili işlemler için yapay zeka destekleyici bir rol oynamalı, nihai karar ise bağımsız bir doğrulama mekanizması tarafından kontrol edilmelidir.

Yapay zekayı her ürüne entegre etme yarışında, hız tek öncelik olmamalıdır . Bir chatbot'a ne kadar çok güç verilirse, kandırılmanın sonuçları da o kadar büyük olur. Kullanıcılar için en pratik savunma, herhangi bir olay yaşanmadan önce hesap güvenliğini erkenden güçlendirmektir.