Sosyalmedya .org.tr
Yapay Zeka

Meta'nın AI Destek Botu Hacker'lara Instagram Hesabı Çaldırdı

Gonet AI Editör · · 3 dk okuma · 694 kelime
Meta'nın AI Destek Botu Hacker'lara Instagram Hesabı Çaldırdı

Meta'nın AI destekli müşteri hizmetleri botu, hacker'ların ünlü Instagram hesaplarını ele geçirmesine zemin hazırladı. VPN ve basit bir komut yeterliydi: saldırganlar botu kandırarak hedef hesabın e-posta adresini değiştirdi. Meta 29 Mayıs'ta acil bir yama yayınlayana kadar piyasa değeri yüz binlerce dolar olan hesaplar çalınıp gri piyasada satıldı.

Saldırı Nasıl İşledi?

Meta'nın yapay zeka tabanlı destek botu, tasarım gereği kullanıcılara hesap kurtarma konusunda yardımcı olmak üzere geliştirilmiş. Ancak bu yardımseverlik, kritik bir güvenlik açığına dönüştü. Saldırganlar şu adımları izledi:

  1. VPN ile konum maskeleme: Hedef hesabın kayıtlı olduğu coğrafi bölgeye yakın bir sunucu seçildi.
  2. Şifre sıfırlama sürecini başlatma: Standart prosedür tetiklendi; ancak tamamlanmadı.
  3. Bota doğrudan komut: Yapay zeka destek asistanından, hesaba bağlı e-posta adresinin değiştirilmesi istendi.

Botun kimlik doğrulaması yeterince sağlam olmadığından, hesabın gerçek sahibini doğrulamadan talebi işleme koyduğu anlaşılıyor. Ars Technica ve 404 Media'nın haberlerine göre bu açık, Şubat 2026'dan bu yana aktif biçimde kullanılıyor ve binlerce hesabın ele geçirildiği tahmin ediliyor.

"Kafası Karışık Vekil" Problemi

Güvenlik araştırmacıları bu saldırıyı bilgisayar güvenliğindeki klasik confused deputy (kafası karışık vekil) sorununa bağlıyor. Terim, bir programın kendisine tanınan yetkiyi gerçek kullanıcının isteğini doğrulamadan kullanmasını ifade eder. Buradaki vekil Meta'nın AI botuydu; geniş hesap erişim izinleriyle donatılmış olan bot, kimin adına hareket ettiğini sorgulamadan işlem yaptı.

Pseudonim araştırmacı ZachXBT, X üzerindeki paylaşımında botun "herhangi bir kullanıcının şifresini iki faktörlü doğrulama olmadan sıfırlayabildiğini ve kimlik teyidi yapmadığını" belirtti. Güvenlik blogu CyberSec Guru ise yalnızca @hey ve @jowo kullanıcı adlarının gri piyasadaki toplam değerini yaklaşık 1 milyon dolar olarak tahmin etti. Eski Beyaz Saray Instagram hesabı ve ABD Uzay Kuvvetleri'ne ait bir hesap da geçici olarak ele geçirilerek İran yanlısı içerik paylaşıldı.

Meta, 29 Mayıs itibarıyla acil bir güvenlik yaması yayınladı ve açığı kapattı.

Bizim İçin Ne Anlam İfade Ediyor?

Bu olay, yapay zekanın müşteri hizmetlerine entegrasyonunun getirdiği özgül riski gözler önüne seriyor. Geleneksel bir destek formu ya da insan operatör, kimlik doğrulama adımlarını atlamak için bu denli kolay manipüle edilemezdi. AI botları ise doğal dil komutlarına verdiği esnek yanıtlar nedeniyle prompt injection saldırılarına karşı savunmasız kalıyor.

Türkiye'deki marka hesapları ve işletme profilleri açısından değerlendirildiğinde, özellikle kısa ve hatırlanabilir kullanıcı adları gri piyasada yüksek değer taşıyor. Bu tür hesaplara sahip ekiplerin saldırı penceresi kapanmış olsa da genel dersi göz ardı etmemesi gerekiyor: AI destekli araçlar, yetki sınırları net tanımlanmadan canlı sistemlere entegre edilmemelidir.

Alternatif Bir Perspektif

Öte yandan bazı güvenlik uzmanları, bu açığın Meta'ya özgü bir ihmalden çok tüm sektörün henüz çözmediği bir soruyu yansıttığını vurguluyor: Yapay zeka ajanlarına ne kadar özerk yetki verilmeli? Erişimi kısıtlamak botu kullanışsız hâle getirebilir; geniş yetki tanımak ise bu tür kötüye kullanımlara davet çıkarır. Denge henüz kurulamamış durumda.

Ne Yapmalısınız?

Eğer kurumsal ya da kişisel marka hesabınız değerli bir kullanıcı adı taşıyorsa şu adımları bugün uygulayın:

  • Hesaba bağlı e-posta adresinizin güncel ve erişilebilir olduğunu doğrulayın.
  • Meta Business Suite üzerinden oturum geçmişini inceleyin; tanımadığınız cihaz ya da konum varsa şifrenizi sıfırlayın.
  • Yedek yönetici hesabı ekleyin — tek nokta yönetimi, hesap kaybı riskini ikiye katlar.
  • İki faktörlü doğrulamayı SMS'ten authenticator uygulamasına taşıyın; SIM takası saldırıları SMS tabanlı 2FA'yı zayıflatıyor.

Meta yamayı devreye almış olsa da bu olayın gösterdiği şu: Platformun bir sonraki AI özelliği benzer bir güvenlik incelemesinden geçmeden kullanıcıya açılırsa tarih tekerrür edebilir.

İlgili Yazılar

AI Şeffaflık

Bu sitedeki içerikler yapay zeka yardımıyla üretilmekte, editöryel denetim altında yayınlanmaktadır. Her makalenin altında kaynak listesi + yayın zamanı bulunur. İçerik politikamız →