Meta’nın Aralık ayında kullanıma sunduğu AI destek asistanı, hesap kurtarma sürecini hızlandırmak için tasarlanmıştı. Ancak ortaya çıkan yeni bulgular, bu aracın tam tersine bazı Instagram hesaplarının ele geçirilmesini ciddi biçimde kolaylaştırdığını gösteriyor. Güvenlik araştırmacılarına göre açık, saldırganların iki faktörlü kimlik doğrulama etkin olan hesapları bile devralmasına imkan tanıdı.
Hafta sonu boyunca çok sayıda araştırmacı, sosyal medya platformlarında bu yöntemle ilgili paylaşımlar yaptı. Dolaşıma giren ekran görüntüleri ve videolar, saldırganların AI destek sohbet botundan hedef hesabın bağlı e-posta adresini değiştirmesini isteyebildiğini, ardından da parola sıfırlama sürecini başlatabildiğini gösterdi. İddialara göre süreç, beklenenden çok daha az doğrulama adımıyla çalışıyordu.
Meta, sorunun artık giderildiğini açıkladı. Şirket, yamadan önce bu açıktan kaç hesabın etkilendiğine dair bir sayı paylaşmadı. Bununla birlikte etkilenen hesapların güvenliğinin sağlanması için çalışma yürütüldüğü belirtildi. Açığın ne kadar süredir aktif olarak kullanıldığı da net değil, ancak güvenlik çevrelerinde zafiyetin Mart ayından bu yana konuşulduğu ifade ediliyor.
Paylaşılan teknik ayrıntılar, sistemin destek işlemlerinde hesap sahibinin fiziksel konumunu önemli bir sinyal olarak kullandığına işaret ediyor. Buna göre saldırganlar bir VPN yardımıyla kendi bağlantı konumlarını hedef kullanıcının konumuyla eşleştirerek destek sistemini kandırabiliyordu. Meta’nın daha önce bu araçla ilgili verdiği bilgilerde, sistemin kullanıcının alışılmış cihazını ve sık bulunduğu konumları tanımakta daha başarılı hale getirildiği vurgulanmıştı. Görünen o ki bu güven sinyali, bazı senaryolarda yeterli koruma sağlayamadı.
Olayın en dikkat çekici yönlerinden biri, iki faktörlü kimlik doğrulamanın da aşılabilmiş olması. Normal şartlarda 2FA, yalnızca parola ele geçirilse bile hesabın devralınmasını zorlaştıran ek bir katman sunuyor. Ancak burada sorun parola kırmadan çok, hesap kurtarma akışının kendisinin manipüle edilebilmesi gibi görünüyor. Eğer destek sistemi hesap üzerindeki temel iletişim bilgisini değiştirmeye izin veriyorsa, sonrasında parola sıfırlama işlemi saldırgan lehine çalışabiliyor.
Resmi olarak kaç hesabın ele geçirildiği bilinmiyor, ancak olayın zamanlaması son dönemde görülen bazı yüksek profilli hesap ihlalleriyle çakışıyor. Bunlar arasında Obama White House hesabı da yer alıyor. Uzun süredir paylaşım yapılmayan hesapta AI üretimi bir görsel yayımlandığı belirtilirken, Meta bu hesabın da ele geçirildiğini doğruladı. Benzer şekilde Sephora ve Space Force ile bağlantılı bazı hesapların da bu açıklardan etkilenmiş olabileceği konuşuluyor.
Gelişme, AI tabanlı destek araçlarının kullanım kolaylığı ile güvenlik arasındaki dengeyi yeniden gündeme taşıyor. Hesap kurtarma süreçlerinin daha hızlı ve daha az sürtünmeli hale gelmesi kullanıcı deneyimi açısından önemli olsa da, bu akışların kötüye kullanıma karşı çok katmanlı doğrulamayla korunması gerekiyor. Meta’nın açığı kapatmış olması kısa vadede riski azaltıyor, ancak etkilenen kullanıcı sayısı ve iç denetim sonuçları paylaşılmadıkça olayın gerçek kapsamı belirsiz kalacak.
