Hackerlar, Meta’nın yapay zeka destekli Instagram kurtarma sistemindeki bir zafiyeti kullanarak arşivlenmiş Obama Beyaz Saray Instagram profili de dahil olmak üzere yüksek profilli hesapları ele geçirdi; kilitli hesaplara erişimi geri getirmek için kullanılan otomatik destek iş akışlarını kötüye kullandılar. Meta daha sonra bu kusuru düzeltti ve etkilenen hesapların güvence altına alındığını doğruladı.
Birçok güvenlik raporuna göre researchers , saldırganlar Meta’nın yapay zeka destek asistanını normal doğrulama kontrolleri olmadan hesap kurtarma bilgilerini değiştirmeye yönlendirebileceklerini keşfettiler. Bazı durumlarda, sistemin saldırganların mağdurun Instagram hesabına yeni bir e-posta adresi eklemesine izin verdiği iddia ediliyor; böylece şifreleri sıfırlama ve profillerin kontrolünü ele geçirme yolu açılıyor.
Araştırmacılar, sorunu Instagram’ın kimlik doğrulama altyapısının ihlali değil, Meta’nın otomatik kurtarma iş akışındaki mantıksal bir hata olarak tanımladılar. Saldırganların şifrelere, kötü amaçlı yazılıma veya Meta sistemlerine doğrudan erişime ihtiyaç duymadığı bildirildi. Bunun yerine, yapay zeka destekli destek sürecindeki zayıflıkları kötüye kullandılar.
En görünür kurbanlardan biri, Obama yönetiminden içeriği koruyan arşivlenmiş @obamawhitehouse Instagram hesabıydı. Hesap, Meta içeriği kaldırıp erişimi geri getirmeden önce kısa bir süre yetkisiz gönderiler gösterdi. Raporlara göre, bazı gönderiler siyasi ve mezhepçi temalara atıfta bulunuyordu.
Araştırmacılar, ek hedefler arasında kurumsal markalar, influencer profilleri, nadir “OG” kullanıcı adları ve büyük kitlelere sahip iş hesapları yer aldığını belirtti. Çevrimiçi paylaşılan videolar, saldırganların kurtarma iş akışını kullanarak değerli kullanıcı adlarına sahip hesapların kontrolünü nasıl ele geçirebileceğini gösterdiği iddia ediliyor.
Araştırmacılar ayrıca bazı saldırganların VPN hizmetleri kullandığını ve konum verilerini sahte şekilde kullanarak kurtarma taleplerini daha meşru gösterdiğini gösteren kanıtlar buldu. Bazı durumlarda, yapay zeka asistanının hassas hesap değişikliklerini işlemeden önce sınırlı hesap bilgilerini sahiplik kanıtı olarak kabul ettiği bildirildi.
Güvenlik araştırmacıları, saldırının giriş sisteminden çok hesap kurtarma sürecini hedef aldığı için saldırganların bazı iki faktörlü kimlik doğrulama korumalarını atlamasına olanak sağladığını belirtti. Kurtarma bilgileri değiştirildikten sonra, saldırganlar şifrelerini sıfırlayabilir ve gerçek kullanıcıları hesaplarından kilitleyebilirdi.
Meta, hesap ele geçirme haberlerinin çevrimiçi yayılmasının ardından bu zafiyetin düzeltildiğini doğruladı. Şirket, etkilenen hesapları güvence altına aldığını ve savunmasız kurtarma davranışını devre dışı bıraktığını belirtti ancak kaç kullanıcının etkilendiğini veya kusurun yamadan önce ne kadar süre aktif kaldığını açıklamadı.