Telset.id – AI support chatbot yang diluncurkan Meta untuk memudahkan pemulihan akun Instagram dan Facebook justru menjadi celah keamanan serius. Menurut laporan dari Engadget, alat ini memungkinkan peretas mengambil alih akun Instagram meskipun akun tersebut dilindungi autentikasi dua faktor.
Meta pertama kali mengumumkan asisten dukungan AI baru pada Desember lalu. Perusahaan itu berjanji fitur tersebut akan membuat proses pemulihan akun “lebih cepat dan sederhana” bagi pengguna yang terkunci dari halaman Facebook atau Instagram mereka. Namun, janji itu tampaknya terpenuhi secara berlebihan—dan tidak dalam arti yang baik.
Para peneliti keamanan menemukan bahwa alat dukungan AI Meta justru memudahkan peretas untuk membajak akun. Eksploitasi ini pertama kali diungkap oleh banyak peneliti keamanan di platform X pada akhir pekan lalu. Detail tentang cara mengambil alih akun, termasuk tangkapan layar dan video yang menunjukkan proses pembajakan, beredar luas di Telegram.
Gambar dan video tersebut mengindikasikan bahwa peretas cukup bertanya kepada chatbot dukungan AI untuk mengubah email yang terkait dengan akun target, lalu meminta reset kata sandi. Proses yang sangat sederhana ini menjadi ancaman serius bagi keamanan pengguna.
Meta kini telah mengatasi masalah tersebut, meskipun belum jelas berapa banyak akun yang terkena dampak sebelum celah ini ditambal. Menurut laporan 404 Media, pengguna di Telegram telah mendiskusikan kerentanan ini sejak Maret. Ketika dimintai komentar, Meta mengarahkan Engadget ke postingan di X dari VP Komunikasi Andy Stone.
“Masalah ini telah diselesaikan dan kami mengamankan akun yang terdampak,” kata Stone dalam balasan ke akun yang memposting tentang pembajakan akun tersebut.
Baca Juga:
Meskipun Meta tidak memberikan informasi tambahan mengapa alat dukungan AI-nya memiliki celah keamanan sebesar itu, tampaknya peretas menemukan bahwa chatbot Meta mengandalkan lokasi fisik pemegang akun untuk mengaktifkan dukungan. Eksploitasi yang kini telah ditambal membutuhkan peretas untuk menggunakan VPN guna menunjukkan bahwa lokasi mereka cocok dengan lokasi pemilik akun yang menjadi target.
“Sistem kami mengenali perangkat yang biasa Anda gunakan dan lokasi yang familiar lebih baik dari sebelumnya,” tulis Meta dalam postingan blog Desember tentang alat dukungan AI tersebut. Ironisnya, sistem yang diklaim lebih baik ini justru menjadi pintu masuk bagi peretas.
Sementara jumlah pasti akun yang dibajak melalui alat AI ini belum diketahui secara resmi, waktunya tampaknya bertepatan dengan gelombang peretasan akun profil tinggi. Salah satu korban adalah akun Obama White House, yang tidak memposting sejak 2017. Akun tersebut memposting gambar buatan AI yang diterjemahkan menjadi “Gedung Putih berada di bawah kendali Syiah,” menurut TMZ.
Meta mengkonfirmasi peretasan tersebut ke outlet itu tetapi tidak memberikan rincian tentang bagaimana hal itu dilakukan atau siapa yang mungkin berada di baliknya. Akun lain yang mungkin terjebak dalam eksploitasi ini termasuk retailer kecantikan Sephora dan seorang pejabat tinggi Space Force, menurut 404 Media.
Insiden ini menimbulkan pertanyaan serius tentang keandalan sistem keamanan berbasis AI yang diterapkan oleh perusahaan teknologi besar. Alih-alih mempermudah pengguna yang sah, fitur ini justru menjadi alat bagi peretas untuk mengambil alih akun dengan mudah.
Bagi pengguna Instagram dan Facebook, insiden ini menjadi pengingat penting untuk selalu waspada terhadap perubahan tidak sah pada akun mereka. Meskipun Meta telah menambal celah tersebut, belum ada jaminan bahwa kerentanan serupa tidak akan muncul kembali di masa depan.
Perusahaan teknologi seperti Meta terus berinovasi dengan Fitur Terbaru berbasis AI untuk meningkatkan pengalaman pengguna. Namun, kasus ini menunjukkan bahwa inovasi tanpa pengujian keamanan yang ketat dapat berakibat fatal.
Meta sendiri belum merilis pernyataan resmi mengenai langkah-langkah pencegahan agar insiden serupa tidak terulang. Komunitas keamanan siber menunggu tindakan lebih lanjut dari perusahaan yang berbasis di Menlo Park, California itu.
Bagi pengguna yang khawatir akunnya telah dibajak, Meta mengonfirmasi bahwa mereka sedang mengamankan akun yang terdampak. Pengguna disarankan untuk segera melaporkan jika mencurigai aktivitas mencurigakan di akun mereka.
Insiden ini juga menjadi pelajaran bagi perusahaan teknologi lain yang berlomba mengintegrasikan AI ke dalam layanan mereka. Kecepatan inovasi tidak boleh mengorbankan aspek keamanan yang menjadi fondasi kepercayaan pengguna.
Ke depannya, Strategi Brand Meta dalam mengadopsi AI perlu dievaluasi ulang. Kasus ini menunjukkan bahwa implementasi teknologi canggih tanpa pertimbangan keamanan yang matang dapat merusak reputasi dan kepercayaan pengguna.
Sementara itu, para ahli keamanan merekomendasikan pengguna untuk mengaktifkan autentikasi dua faktor dan secara rutin memeriksa pengaturan keamanan akun mereka. Meskipun celah ini telah ditambal, kewaspadaan tetap menjadi pertahanan terbaik terhadap ancaman siber.
Meta belum mengungkapkan apakah akan ada perubahan fundamental pada cara kerja AI support chatbot mereka. Yang jelas, janji untuk membuat pemulihan akun “lebih cepat dan sederhana” kini harus dibarengi dengan jaminan keamanan yang lebih kuat.
Komentar
Belum ada komentar.