404 Media’nin incelediği Telegram konuşmalarına göre saldırganlar, Meta’nın Mart 2026’da devreye aldığı yapay zekâ destekli müşteri hizmetleri botunu kandırarak Instagram hesaplarını ele geçirdi. Botun, saldırgana ait bir e‑postayı hesaba eklemesi isteniyor; ardından gelen kod girilince şifre sıfırlama e‑postası saldırgana gidiyor ve hesap kontrolü ele geçiriliyor.
Bu yöntem hafta sonu boyunca bir dizi yüksek profilli hesaba uygulandı: Obama dönemine ait arşiv White House hesabı, ABD Uzay Kuvvetleri kıdemli astsubayı John Bentivegna’nın hesabı, Sephora ve araştırmacı Jane Manchun Wong’un hesapları bunlardan bazıları.
Ars Technica’nın aktardığına göre saldırganlar, hedef hesabın bölgesine yakın bir konumu VPN ile taklit edip şifre sıfırlama akışını başlatıyor, sonra da bota hesapla ilişkili e‑postayı değiştirmesini “rica ediyor”. Bu noktada ek bir kimlik doğrulaması sorulmadığı için süreç tamamlanabiliyor.
TechCrunch ve The Guardian, Meta’nın 1 Haziran 2026 itibarıyla sorunu giderdiğini söylediğini aktarıyor. Şirket, sistemlerinde bir ihlal olmadığını ve konunun düzeltildiğini belirtti; ancak vakalar, kritik hesap kurtarma adımlarının tamamen bir botun inisiyatifine bırakılmasının ne kadar riskli olduğunu gösteriyor.
Nasıl bu kadar kolay oldu?
- Yöntem, kullanıcı e‑postasına erişim veya kötü amaçlı yazılım gerektirmedi; botun “e‑posta değiştirme + şifre sıfırlama” adımlarını tetiklemesi yeterliydi.
- Bazı durumlarda 2FA koruması da devre dışı kalmış görünüyor; zira sıfırlama bağlantısı saldırganın yeni eklenen e‑postasına yönlendirilebiliyordu.
- Hacker topluluklarında bu açığın Mart 2026’dan beri konuşulduğuna dair paylaşımlar var.
Olay, “7/24 destek” vaadiyle Mart 2026’da tanıtılan Meta’nın destek botunun, yeterli kimlik doğrulama ve insan onayı olmadan hesap ayarlarına yetki vermesinin doğurduğu tasarım riskini ortaya koydu.
Kullanıcılar ne yapabilir? Instagram’ın açığı kapattığını söylemesi sevindirici; yine de uygulama tabanlı iki adımlı doğrulamayı (SMS yerine Authenticator türü uygulamalar) açmak, hesabı özel bir e‑posta ile yönetmek ve düzenli oturum kontrolü yapmak zarar riskini azaltır.
Kaynak: www.techspot.com