Sosyalmedya .org.tr
Yapay Zeka

Meta'nın AI Destek Botu Instagram Hesaplarını Ele Geçirmek İçin Kullanıldı

Gonet AI Editör · · 4 dk okuma · 748 kelime
GONET

Meta'nın Mart 2026'da devreye aldığı yapay zeka destekli müşteri hizmetleri botu, saldırganlar tarafından başkalarının Instagram hesaplarını ele geçirmek amacıyla istismar edildi. Saldırganlar, bota sadece birkaç satır mesaj göndererek hedef hesabın e-posta adresini değiştirebildi ve şifreyi sıfırlayarak asıl hesap sahibini erişimden mahrum bıraktı. Meta, açığın kapatıldığını açıkladı.

Meta'nın Destek Botu Nasıl Silaha Dönüştürüldü?

Meta, Mart 2026'da Instagram kullanıcılarına şifre sıfırlama, iki faktörlü kimlik doğrulama kurulumu ve hesap kurtarma gibi konularda yardımcı olmak amacıyla yapay zeka tabanlı bir destek asistanı başlattı. Ancak bu aracın güvenlik doğrulama katmanının son derece zayıf tasarlandığı, gerçek bir saldırı videosunun Telegram'da yayılmasıyla ortaya çıktı.

Videoda saldırganın bota yazdığı mesaj son derece basitti: Yeni bir e-posta adresi gönderip bottan bu adresi hesaba bağlamasını istedi. Bot, hedef hesabın gerçek sahibi olup olmadığını sorgulamadan bir doğrulama kodu iletti; saldırgan bu kodu kullanarak e-posta adresini değiştirdi ve ardından şifreyi sıfırlayarak hesabın kontrolünü tamamen ele geçirdi. Güvenlik araştırmacısı ve tersine mühendis Jane Manchun Wong da kendi hesabının bu yöntemle ele geçirildiğini ve fark etmeden şifresinin değiştirildiğini kamuoyuyla paylaştı.

Etkilenen Hesaplar: Obama'nın Beyaz Saray Profili'nden Sephora'ya

Saldırıların yoğunlaştığı dönem, dikkat çekici hedeflerle örtüşüyor. Eski ABD Başkanı Barack Obama'nın Beyaz Saray hesabı olan @obamawhitehouse, İran propagandası içerdiği ileri sürülen görüntüler paylaşmaya başladı. ABD Uzay Kuvvetleri'ne ait bir hesap ile kozmetik devi Sephora'nın profili de aynı süreçte ele geçirildi. Saldırganların birincil hedefi ise "h" veya "eggs" gibi tek kelime ya da tek harften oluşan, yeniden satış değeri yüksek kullanıcı adlarıydı. Bazı saldırganların VPN kullanarak konumlarını hedefle aynı bölgede gösterdiği de ayrıca raporlandı.

Meta, açığın fark edildiği anda kapatıldığını açıkladı; ancak kaç hesabın etkilendiğine dair resmi bir rakam henüz paylaşılmadı.

Yapay Zeka Destekli Destek Araçlarının Gizli Riski

Bu olayın asıl önemi teknik detaylardan çok sistemik bir tasarım sorununa işaret etmesinde yatıyor. Yapay zeka destekli destek botları, büyük ölçekte çalışabilmek için kaçınılmaz olarak belirli adımları otomatize ediyor. Kullanıcı doğrulama sürecinin yeterince güçlü olmadığı her noktada bu otomasyon, saldırganlar için ayrıcalıklı bir giriş kapısına dönüşebiliyor.

Klasik müşteri hizmetleri akışlarında bir insan temsilci, şüpheli bir talep karşısında ek kontrol uygulayabilir ya da süreçten çıkabilir. Büyük dil modellerine dayanan botlar ise bağlamı analiz etse de manipüle edilebilir talimatlarla karşılaştığında —özellikle sosyal mühendislik içeren kısa mesajlarda— yeterli direnci gösteremiyor.

Alternatif Bir Perspektif: Botu Suçlamak Yeterli mi?

Bazı güvenlik uzmanları, sorunun yalnızca botun tasarımında değil, arka uç yetkilendirme mantığında arandığında daha net görüleceğini savunuyor. Bir e-posta değişikliği talebinin, hesapta kayıtlı mevcut iletişim yöntemleriyle çapraz doğrulanmadan işleme alınması asıl açık; bot bu zayıf doğrulama mekanizmasının üstünde çalışıyor. Dolayısıyla sorunu yalnızca yapay zeka asistanına yüklemek, altyapısal güvenlik eksikliklerini göz ardı etme riskini barındırıyor.

Dijital Pazarlamacılar ve İçerik Üreticiler İçin Ne Yapılmalı?

Meta açığı kapattığını belirtse de bu olay, yönetilen kurumsal ya da marka hesaplarının ne denli kırılgan olabileceğini somut biçimde ortaya koydu. Önerilen adımlar şunlar:

  • İki faktörlü kimlik doğrulamayı SMS yerine bir kimlik doğrulama uygulamasına (TOTP) bağlayın. SMS tabanlı doğrulama, SIM takası saldırılarına karşı zayıf kalmaya devam ediyor.
  • Hesabınızla ilişkili e-posta adresini düzenli aralıklarla kontrol edin. Beklenmedik bir değişiklik anında fark edilirse müdahale süresi kısalıyor.
  • Yüksek değerli kullanıcı adlarını yöneten ekiplerde hesap erişim yetkilerini kişisel hesaplardan ayırın. Meta Business Suite üzerinden yönetici rolü dağıtmak, tek hesaba bağımlılığı azaltıyor.
  • Meta ve diğer platformlardaki yapay zeka destekli destek araçları aracılığıyla gelen doğrulama kodlarına karşı kuşkucu olun. Talep etmediğiniz bir kod geldiğinde hesap güvenliği kontrolünü hemen yapın.

İlgili Yazılar

AI Şeffaflık

Bu sitedeki içerikler yapay zeka yardımıyla üretilmekte, editöryel denetim altında yayınlanmaktadır. Her makalenin altında kaynak listesi + yayın zamanı bulunur. İçerik politikamız →