Layanan dukungan Meta AI baru-baru ini dilaporkan telah disalahgunakan oleh peretas untuk membobol sejumlah akun Instagram. Beruntung, Meta bergerak cepat dengan memperbaiki celah keamanan tersebut dan mengamankan akun-akun yang sempat terdampak.
Asisten dukungan berbasis kecerdasan buatan ini sebenarnya resmi dirilis pada Maret lalu untuk mempermudah pengguna. Fitur tersebut dirancang guna membantu proses pemulihan akun, seperti reset kata sandi hingga mengaktifkan autentikasi dua faktor.
Eksploitasi Fitur Dukungan Meta AI
Penyalahgunaan ini mulai terendus setelah banyak pengguna di platform Reddit dan X melaporkan kehilangan kendali atas akun mereka. Para korban mengaku menerima permintaan reset kata sandi berkali-kali sebelum akhirnya tidak bisa mengakses aplikasi.
Beberapa akun populer hingga akun milik tokoh penting turut menjadi sasaran dalam serangan siber ini. Berikut adalah daftar beberapa pihak yang diketahui menjadi korban peretasan :
- Akun Instagram @obamawhitehouse yang sudah tidak aktif sejak tahun 2017.
- John Bentivegna, yang menjabat sebagai U.S. Space Force Chief Master Sergeant.
- Sephora, salah satu peritel kecantikan ternama di dunia.
- Jane Manchun Wong, seorang peneliti keamanan siber yang akunnya ikut diambil alih.
Jane Manchun Wong menceritakan pengalamannya bahwa ia dipaksa keluar dari aplikasi Instagram berkali-kali. Ia juga menyadari adanya upaya penggantian kata sandi tanpa sepengetahuan pemilik akun asli.
Modus Operandi Peretasan
Berdasarkan rekaman video yang beredar di Telegram dan X, terungkap bagaimana para peretas menjalankan aksinya. Mereka menggunakan VPN untuk memanipulasi lokasi agar menyerupai koordinat pemilik akun guna mengelabui sistem keamanan.
Setelah lokasi dianggap aman oleh sistem, pelaku mulai berinteraksi dengan chatbot dukungan Meta AI. Mereka kemudian meminta bot tersebut untuk menambahkan alamat email baru ke dalam akun yang sedang ditargetkan.
Langkah teknis yang dilakukan peretas saat mengeksploitasi bot :
- Menghubungkan VPN ke lokasi yang sesuai dengan target akun.
- Meminta Meta AI menambahkan alamat email baru milik peretas.
- Menerima dan memasukkan kode verifikasi yang dikirimkan oleh bot.
- Mengklik tombol reset password yang disediakan secara otomatis oleh Meta AI.
Setelah langkah-langkah tersebut berhasil dilakukan, pelaku dapat dengan mudah memasukkan kata sandi baru. Dengan demikian, pemilik asli akan kehilangan akses sepenuhnya karena akun telah beralih ke email peretas.
Tanggapan Resmi dari Pihak Meta
Juru bicara Meta, Andy Stone, memberikan konfirmasi bahwa celah pada sistem asisten digital mereka telah ditambal. Pihak perusahaan juga memastikan bahwa akun-akun yang sempat dibobol kini sudah kembali dalam kondisi aman.
Meski demikian, hingga saat ini belum ada data resmi mengenai jumlah total akun yang menjadi korban. Kasus ini menjadi peringatan akan potensi ancaman baru di mana teknologi AI dapat dijadikan senjata oleh para peretas.