Instagram hesaplarının güvenliği, Meta'nın yapay zeka destekli sohbet botunu kullanan hacker'ların açtığı bir güvenlik açığıyla tehlikeye girdi. Söz konusu durum, saldırganların hesaplara bağlı e-posta adreslerini değiştirmesine olanak tanıdı ve bu süreçte VPN kullanarak konumlarını hedef hesaplara yakın bir yerde gösterdiler.
Hacker'ların Yöntemi
Saldırganlar, süreci oldukça basit bir akışla yürüttüler. İlk olarak, VPN aracılığıyla hedef hesapların bulunduğu bölgeye yakın bir konum seçtiler. Ardından Instagram'da şifre sıfırlama sürecini başlatarak Meta'nın AI destekli botuna e-posta adresini değiştirme talebinde bulundular. Bu talep, sistemin doğrulama sürecini eksik kurmasından ötürü bazen başarılı oldu ve hesapların kontrolü saldırganlara geçti.
Açığın Süresi ve Etkileri
Güvenlik araştırmacıları, bu açığın Şubat ayından beri aktif olduğunu belirtiyor. Hacker'ların bu süre zarfında binlerce hesabı ele geçirdikleri ortaya çıktı. Olayın daha çok görünür hale gelmesi, ünlü hesapların da hedef alınmasıyla gerçekleşti. Bazı kullanıcılar, kendi hesaplarının çalındığını bildirdi.
Değerli Hesapların Hızla Satılması
Hackerlar özellikle kısa kullanıcı adına sahip hesaplara yöneldi. Bu hesaplar, marka gibi kullanılabildiği veya sahte kimlik için avantaj sağladığı için önemli bir değer taşımaktadır. Bazı hesapların toplam değerinin 1 milyon doları aştığı tahmin ediliyor.
Açığın Kaynağı
Bu güvenlik açığı, “confused deputy” problemi olarak tanımlanmaktadır. Yapay zeka botu, güçlü yetkilere sahip olmasına rağmen, daha zayıf bir kullanıcı tarafından kandırılarak işlem yapabiliyor. Geleneksel yazılımların kuralları netken, yapay zeka kelimelere göre karar verdiği için manipülasyona açık hale geliyor.
Güvenlik Uzmanlarından Öneriler
Uzmanlar, iki faktörlü doğrulama (2FA) açık olan hesapların bu tür saldırılardan büyük ölçüde korunduğunu vurguluyor. Özellikle SMS doğrulama gibi temel güvenlik önlemlerinin eklenmesi gerektiği ifade ediliyor. Ayrıca, sistem tasarımında yapılması gereken iyileştirmeler arasında şu önlemler öne çıkıyor:
- Hesap değişikliklerinde ek doğrulama sağlanması
- Riskli işlemlerde hız sınırlaması getirilmesi
- AI işlemlerinin kayıt altına alınması
- Anormal hareketleri tespit eden denetim sistemleri kurulması
- Yapay zekâya kör yetki verilmemesi
Bu tedbirler alınmadığında, AI destekli sistemlerde benzer güvenlik açıklarının devam edebileceği düşünülüyor.
Haberin Editörü: Emre ALADAĞ
Mad Max Serisi: Furiosa'nın Gişe Performansı ve Gelecek Projeleri
KRAFTON'dan Yeni Aksiyon Oyunu Project ZETA İçin Küresel Test Duyurusu
Lenovo Yoga Kablosuz Kulaklık: İleri Teknoloji ve Uygun Fiyat
Vodafone Türkiye'den Öğrencilere Yönelik Yaz Kampüsü Eğitim Programı
Steam'de 12-15 Haziran'da Ücretsiz Oynanabilecek Oyunlar
