Meta Akui Chatbot AI Menyebabkan Ribuan Akun Instagram Diretas
Senin, 08 Juni 2026 - 20:07 WIB
loading...
Chatbot Meta. FOTO/ The Verge
A
A
A
MENLO PARK - Meta mengkonfirmasi bahwa sekitar 20.000 akun Instagram, termasuk akun US Space Force, telah diretas oleh peretas karena adanya celah dalam perangkat berbasis AI mereka dan sedang berupaya untuk memperbaiki masalah tersebut.
Meta melaporkan bahwa sekitar 20.000 akun Instagram mungkin telah diretas dalam insiden baru-baru ini karena penyalahgunaan alat pemulihan akun berbasis AI.
Peretas berhasil membobol banyak akun Instagram hanya dengan menginstruksikan chatbot Meta untuk menghubungkan alamat email mereka ke akun target. Hal ini memungkinkan peretas untuk mengatur ulang kata sandi dan mendapatkan kendali.
Sejumlah akun terkenal diyakini telah diretas dan dijual di dark web. Daftar korban termasuk akun Gedung Putih dari pemerintahan mantan Presiden Obama, merek Sephora, dan Kepala Staf Angkatan Luar Angkasa AS, John Bentivegna.
Beberapa penjahat siber bahkan telah membagikanvideodan instruksi terperinci tentang cara melakukan serangan tersebut.
Saat ini, Meta sedang melaporkan skala insiden tersebut kepada pihak berwenang. Secara spesifik, perusahaan telah memberi tahu Kantor Kejaksaan Agung Maine bahwa total 20.225 orang mungkin telah terdampak.
Namun, Amber Hannah, Wakil Presiden Urusan Hukum untuk Respons Insiden di Meta, meyakini bahwa jumlah sebenarnya mungkin lebih kecil.
Perusahaan telah mengumpulkan data tentang pengguna yang kata sandinya direset melalui alat dukungan, yang tidak mengaktifkan otentikasi dua faktor (2FA), dan yang berpotensi diakses oleh peretas. Meskipun demikian, beberapa akun dalam kelompok ini mungkin telah diakses oleh pemiliknya yang sah, bukan peretas.
Laporan Meta kepada Jaksa Agung Maine mengungkapkan bahwa eksploitasi alat High Touch Support (HTS) ditemukan pada tanggal 31 Mei.
Alat ini dirancang untuk membantu pengguna mendapatkan kembali akses saat akun mereka terkunci, tetapi peretas mengeksploitasi kerentanan untuk mengatur ulang kata sandi Instagram.
"Pengguna dapat meminta dukungan dari HTS dan meminta tautan pengaturan ulang kata sandi dikirim ke email mereka. Alat itu sendiri berfungsi normal; namun, karena kesalahan dalam alur kode terpisah, sistem gagal memverifikasi dengan benar apakah email yang diberikan oleh pemohon cocok dengan email yang terkait dengan akun Instagram tersebut," jelas Meta.
Akibatnya, ketika seseorang memberikan alamat email yang belum pernah dihubungkan, sistem akan mengirimkan tautan pengaturan ulang kata sandi yang salah ke alamat email yang tidak dikenal tersebut, alih-alih menolak permintaan. Hal ini memungkinkan pihak ketiga yang tidak berwenang untuk menerima tautan dan masuk jika pemilik akun tidak mengaktifkan otentikasi dua faktor (2FA).
Meta menyatakan bahwa belum jelas apakah informasi pribadi yang tersimpan di akun-akun tersebut telah diakses. Namun, penyerang mungkin telah memperoleh informasi profil, email, nomor telepon, tanggal lahir, pesan langsung, unggahan media sosial, dan informasi tentang riwayat aktivitas dan interaksi.
Raksasa media sosial tersebut telah menonaktifkan alat yang disalahgunakan dan hanya akan mengaktifkannya kembali setelah memastikan kerentanan tersebut telah ditambal.
Tautan pengaturan ulang kata sandi yang dibuat akibat kerentanan tersebut telah dinonaktifkan. Akun yang terpengaruh telah menjalani pemeriksaan keamanan wajib dan dipaksa untuk mengatur ulang kata sandi mereka.
.
Hannah mengkonfirmasi bahwa Meta akan memberi tahu pengguna yang terdampak sesegera mungkin, menyarankan mereka untuk memeriksa pengaturan keamanan dan mengaktifkan otentikasi dua faktor (2FA).
Meta melaporkan bahwa sekitar 20.000 akun Instagram mungkin telah diretas dalam insiden baru-baru ini karena penyalahgunaan alat pemulihan akun berbasis AI.
Peretas berhasil membobol banyak akun Instagram hanya dengan menginstruksikan chatbot Meta untuk menghubungkan alamat email mereka ke akun target. Hal ini memungkinkan peretas untuk mengatur ulang kata sandi dan mendapatkan kendali.
Sejumlah akun terkenal diyakini telah diretas dan dijual di dark web. Daftar korban termasuk akun Gedung Putih dari pemerintahan mantan Presiden Obama, merek Sephora, dan Kepala Staf Angkatan Luar Angkasa AS, John Bentivegna.
Beberapa penjahat siber bahkan telah membagikanvideodan instruksi terperinci tentang cara melakukan serangan tersebut.
Saat ini, Meta sedang melaporkan skala insiden tersebut kepada pihak berwenang. Secara spesifik, perusahaan telah memberi tahu Kantor Kejaksaan Agung Maine bahwa total 20.225 orang mungkin telah terdampak.
Namun, Amber Hannah, Wakil Presiden Urusan Hukum untuk Respons Insiden di Meta, meyakini bahwa jumlah sebenarnya mungkin lebih kecil.
Perusahaan telah mengumpulkan data tentang pengguna yang kata sandinya direset melalui alat dukungan, yang tidak mengaktifkan otentikasi dua faktor (2FA), dan yang berpotensi diakses oleh peretas. Meskipun demikian, beberapa akun dalam kelompok ini mungkin telah diakses oleh pemiliknya yang sah, bukan peretas.
Laporan Meta kepada Jaksa Agung Maine mengungkapkan bahwa eksploitasi alat High Touch Support (HTS) ditemukan pada tanggal 31 Mei.
Alat ini dirancang untuk membantu pengguna mendapatkan kembali akses saat akun mereka terkunci, tetapi peretas mengeksploitasi kerentanan untuk mengatur ulang kata sandi Instagram.
"Pengguna dapat meminta dukungan dari HTS dan meminta tautan pengaturan ulang kata sandi dikirim ke email mereka. Alat itu sendiri berfungsi normal; namun, karena kesalahan dalam alur kode terpisah, sistem gagal memverifikasi dengan benar apakah email yang diberikan oleh pemohon cocok dengan email yang terkait dengan akun Instagram tersebut," jelas Meta.
Akibatnya, ketika seseorang memberikan alamat email yang belum pernah dihubungkan, sistem akan mengirimkan tautan pengaturan ulang kata sandi yang salah ke alamat email yang tidak dikenal tersebut, alih-alih menolak permintaan. Hal ini memungkinkan pihak ketiga yang tidak berwenang untuk menerima tautan dan masuk jika pemilik akun tidak mengaktifkan otentikasi dua faktor (2FA).
Meta menyatakan bahwa belum jelas apakah informasi pribadi yang tersimpan di akun-akun tersebut telah diakses. Namun, penyerang mungkin telah memperoleh informasi profil, email, nomor telepon, tanggal lahir, pesan langsung, unggahan media sosial, dan informasi tentang riwayat aktivitas dan interaksi.
Raksasa media sosial tersebut telah menonaktifkan alat yang disalahgunakan dan hanya akan mengaktifkannya kembali setelah memastikan kerentanan tersebut telah ditambal.
Tautan pengaturan ulang kata sandi yang dibuat akibat kerentanan tersebut telah dinonaktifkan. Akun yang terpengaruh telah menjalani pemeriksaan keamanan wajib dan dipaksa untuk mengatur ulang kata sandi mereka.
.
Hannah mengkonfirmasi bahwa Meta akan memberi tahu pengguna yang terdampak sesegera mungkin, menyarankan mereka untuk memeriksa pengaturan keamanan dan mengaktifkan otentikasi dua faktor (2FA).
(wbs)
Lihat Juga :
