Meta, Instagram hesap güvenliği konusunda son günlerin en çarpıcı verisini paylaştı ve yapay zeka destekli destek aracındaki hatanın 20.225 hesabı etkilediğini açıkladı. Saldırganlar, Meta AI üzerinden çalışan hesap kurtarma akışındaki e-posta doğrulama eksikliğini kullanarak hesapların şifresini değiştirdi. Bu olay, özellikle değerli kullanıcı adlarına, yüksek profilli hesaplara ve hesabına uzun süredir yatırım yapan kişilere doğrudan temas etti.
Bleeping Computer’ın aktardığı resmi bildirime göre Meta, hesap ele geçirme olayında net sayı olarak 20.225 Instagram hesabını paylaştı. Şirket, Maine Başsavcılığına sunduğu bildirimde saldırganların destek sistemi üzerinden parola sıfırlama bağlantılarını kendi kontrollerine aldığını belirtti. Bunun yanı sıra Meta, olayın ardından hatalı bağlantıları geçersiz kıldığını ve etkilenen hesaplar için güvenlik adımları başlattığını açıkladı.
Saldırının merkezinde, Instagram hesabı için destek ve parola sıfırlama sürecini yöneten yapay zeka destekli “High Touch Support” aracı yer aldı. Sistem, kullanıcının verdiği e-posta adresinin ilgili Instagram hesabına gerçekten bağlı olup olmadığını yeterince kontrol etmedi. Böylece saldırganlar, hedef hesabın e-posta bilgisini kendi adresleriyle ilişkilendirdi ve ardından parola sıfırlama bağlantısı üzerinden hesaba giriş yaptı.
İlk haberlerde saldırganların VPN kullanarak hedef kişinin konumuna yakın görünmeye çalıştığı aktarıldı. Aralık ayında çıkan sistem, bu konum doğrulaması dışında hesap sahipliğini kanıtlayan güçlü bir kontrol uygulamadı. Öte yandan 404 Media, hacker’ların özellikle kısa ve değerli kullanıcı adlarına sahip hesapları hedef aldığını, bazı saldırganların Meta AI botu üzerinden ciddi para kazandığını yazdı.
Meta hatayı kapattığını ve hesapları güvenceye aldığını söylüyor
Eski Meta mühendisi Jane Manchun Wong da saldırının hedefleri arasında yer aldı. Wong, Instagram hesabının hacklendiğini, şifresinin bilgisi dışında değiştiğini ve gün boyunca farklı parola sıfırlama girişimleri aldığını söyledi. Ayrıca Instagram iOS uygulamasından defalarca çıkarıldığını belirtti ve yaşadığı süreci “oldukça endişe verici” sözleriyle anlattı.
Meta sözcüsü Andy Stone, konuyla ilgili açıklamasında “Bu sorun çözüldü. Şu anda etkilenen hesapların güvenliğini sağlıyoruz.” ifadelerini kullandı. Şirketin bildiriminde, güvenlik açığının 31 Mayıs 2026’da fark edildiği ve hatalı parola sıfırlama bağlantılarının geçersiz hâle getirildiği bilgisi yer aldı. Bununla birlikte Meta, saldırganların bazı hesaplarda e-posta, telefon numarası, doğrudan mesajlar ve profil bilgileri gibi verilere erişmiş olabileceğini kabul etti.
The Verge, olayla bağlantılı yüksek profilli örnekler arasında Barack Obama dönemine ait White House hesabını, Sephora’yı ve Jane Manchun Wong’u saydı. TechCrunch ise saldırganların destek botunu ikna ederek hesaplara erişim aldığını ve olayın yalnızca klasik parola hırsızlığıyla açıklanamayacağını aktardı. Reuters’a konuşan güvenlik uzmanları, hesap kurtarma gibi hassas işlemlerde otomasyonun güçlü denetimlerle çalışması gerektiğini vurguladı.
Zaman çizelgesinde kaynaklar arasında bazı farklar bulunuyor. Bazı haberler aracın aralık ayında çıktığını belirtirken, Business Insider ve Inc, Meta’nın bu destek aracını mart ayında hesap sorunlarına yardımcı olacak biçimde daha geniş kullanıma açtığını yazdı. Buna rağmen olayın ana ekseni değişmiyor, Meta AI destek aracı e-posta eşleşmesini doğru kontrol etmedi ve saldırganlar bu hatayı kullanarak Instagram hesaplarını ele geçirdi.
Bu fırsatlar ilginizi çekebilir
Teknoblog'un satış ortaklıkları vardır. Bunlar, editoryal içeriği etkilemez, ancak Teknoblog, satış ortaklığı bağlantıları üzerinden satın alınan ürünler için komisyon kazanabilir.
