Meta'nın AI Destek Botu Instagram Hesaplarını Ele Geçirmeye Nasıl Zemin Hazırladı?
Meta'nın yapay zeka destekli müşteri hizmetleri botu, bilgisayar korsanlarının VPN ve basit bir komut dizisiyle ünlü Instagram hesaplarını ele geçirmesine olanak tanıdı. @hey ve @jowo gibi değerli kullanıcı adları gri piyasada yüz binlerce dolara satılmadan önce Meta 29 Mayıs'ta acil yama uyguladı. Olayın arkasında klasik bir 'karmaşık vekil' güvenlik açığı yatıyor.
Meta'nın Yapay Zeka Botu Nasıl Bir Güvenlik Açığı Yarattı?
Meta'nın Instagram kullanıcılarına destek vermek amacıyla devreye aldığı yapay zeka sohbet botu, beklenmedik bir saldırı vektörüne dönüştü. Araştırmacıların aktardığına göre, saldırganlar yalnızca VPN kullanarak hedef hesabın yaklaşık coğrafi bölgesine uyum sağlıyor, ardından bir şifre sıfırlama süreci başlatıp bota hesaba bağlı e-posta adresini değiştirmesini söylüyordu. Bot, kimin sorduğunu doğrulamadan bu isteği yerine getirdi.
Güvenlik araştırmacısı ZachXBT'nin X platformunda paylaştığı bulgulara göre, söz konusu bot iki faktörlü kimlik doğrulamayı (2FA) atlatarak herhangi bir kullanıcının şifresini sıfırlayabilecek düzeyde erişim yetkisine sahipti. Bu durum, hesap sahiplerinin ekstra güvenlik katmanı olarak güvendiği 2FA'yı işlevsiz kıldı.
'Karmaşık Vekil' Problemi Nedir?
Güvenlik literatüründe 'confused deputy' (karmaşık vekil) olarak bilinen bu açık, bir programın kendi sahip olduğu yetkileri, bu yetkileri gerçekten kullanma hakkı olmayan bir tarafın talebiyle yanlış yönde kullandığı durumu tanımlar. Meta'nın AI botunda tam da buyaşandı: Bot, Meta altyapısına erişim konusunda geniş yetkilerle donatılmıştı; ancak bu yetkileri kimin adına kullandığını denetleyen bir doğrulama katmanından yoksundu.
Saldırının teknik karmaşıklığı son derece düşüktü. Siber güvenlik araştırmacılarının Telegram gruplarında yaydığı videolar, açığın ne denli kolay uygulanabilir olduğunu gözler önüne serdi. Neowin'in aktardığına göre açık Şubat 2025'ten itibaren aktif biçimde kullanılıyordu; binlerce hesap bu yöntemle ele geçirilmişti.
Ele Geçirilen Hesapların Değeri
Saldırıların en dikkat çekici boyutu yalnızca gizlilik ihlali değil, elde edilen ekonomik kazanım. @hey ve @jowo gibi kısa ve akılda kalıcı kullanıcı adları, gri piyasada toplam 1 milyon doların üzerinde değer biçildiği iddia edilen hesaplar arasında yer alıyor. Kısa kullanıcı adları; marka kimliğine yakınlıkları, yeniden satış değerleri ve kimlik taklidi potansiyelleri nedeniyle yer altı pazarlarında yüksek fiyat buluyor.
Öte yandan Barack Obama döneminin Beyaz Saray hesabı ve Space Force'a bağlı bir hesabın İran yanlısı içerikler paylaşmak amacıyla geçici olarak ele geçirilmesi, salt ekonomik motivasyonun ötesinde jeopolitik bir boyutun da devreye girdiğini gösteriyor.
Meta, açığı fark ettikten sonra 29 Mayıs 2025'te acil yama yayımladı.
Yapay Zeka Botlarının Yetki Mimarisi Neden Kritik?
Bu olay, yapay zeka asistanlarının kurumsal sistemlere entegre edilirken yetki sınırlarının ne kadar titizlikle çizilmesi gerektiğini bir kez daha ortaya koyuyor. Doğal dil arayüzü, kullanıcı doğrulamayı otomatik olarak ima etmez; aksine geleneksel API güvenlik kontrolleri devre dışı bırakılmadan uygulanmalıdır. Bir yapay zeka botuna ne kadar çok operasyonel yetki verilirse, o botun kötüye kullanılması potansiyel saldırı yüzeyini o ölçüde genişletir.
Alternatif Bir Perspektif
Meta'nın bu botu işlevsel kılmak için geniş yetki atamış olması anlaşılabilir bir mühendislik tercihidir: Kullanıcı deneyimini sorunsuz tutmak için sürtünmeyi azaltmak şirketin öncelikleri arasında yer alır. Ancak eleştirmenler, yüksek riskli işlemler için (e-posta değiştirme, şifre sıfırlama) insan onayı ya da ek kimlik doğrulama gerektiren bir mimarinin başlangıçtan itibaren zorunlu olması gerektiğini savunuyor. Kolaylık ile güvenlik arasındaki denge yapay zeka entegrasyonlarının kronik gerilim noktasıdır.
Ne Yapmalısınız?
Hesabınız kurumsal, ticari ya da yüksek değerli bir kullanıcı adı taşıyorsa şu adımları acilen gözden geçirin: Instagram'a kayıtlı e-posta adresinizin hâlâ kontrolünüzde olduğunu doğrulayın, aktif oturumları denetleyin ve mümkünse doğrulanmış kimlik bilgileriyle bağlantılı bir yedek iletişim yöntemi ekleyin. Ek olarak, işletme sayfalarını yöneten dijital pazarlamacılar için hesap erişim günlüklerini düzenli aralıklarla incelemek standart bir süreç haline getirilmeli.