Meta’nın geçtiğimiz aralık ayında duyurduğu yapay zekâ destekli müşteri destek sistemi, kullanıcıların Facebook ve Instagram hesaplarına yeniden erişmesini kolaylaştırmayı hedefliyordu. Şirket, söz konusu çözümün hesap kurtarma süreçlerini daha hızlı ve daha basit hâle getireceğini belirtmişti. Ne var ki, son günlerde ortaya çıkan bilgiler, Meta AI sisteminin kötü niyetli kişiler tarafından istismar edildiğini gösteriyor. Güvenlik araştırmacılarının paylaştığı bulgulara göre açık, saldırganların iki aşamalı doğrulama koruması bulunan Instagram hesaplarını dahi ele geçirebilmesine imkân tanıdı.
Konu hafta sonu boyunca çok sayıda güvenlik araştırmacısı tarafından X platformunda gündeme taşındı. Araştırmacıların aktardığına göre, Telegram üzerinde hesap ele geçirme yöntemlerini anlatan içerikler, ekran görüntüleri ve videolar dolaşıma girdi. Paylaşılan materyaller, saldırganların Meta’nın yapay zekâ destekli destek sohbet botuna belirli hesapların e-posta adreslerini değiştirmesi yönünde talepte bulunabildiğini ve ardından parola sıfırlama işlemi başlatabildiğini ortaya koydu. Bu durum, hesap güvenliğini sağlaması beklenen destek mekanizmasının tersine bir sonuç doğurduğunu gösterdi.
Meta, ortaya çıkan güvenlik sorununu doğruladı ve açığın kapatıldığını açıkladı. Buna rağmen güvenlik açığının aktif olduğu dönemde kaç hesabın etkilendiği konusunda şirket tarafından herhangi bir rakam paylaşılmadı. 404 Media’nın haberine göre Telegram topluluklarında bu güvenlik açığıyla ilgili tartışmalar mart ayından bu yana sürüyordu. Engadget’ın yorum talebine yanıt veren Meta ise şirketin iletişimden sorumlu başkan yardımcısı Andy Stone’un X üzerinden yaptığı açıklamaya işaret etti. Stone, sorunun çözüldüğünü ve etkilenen hesapların güvenliğinin sağlanması için çalışmaların sürdüğünü belirtti.
Haberleri Kaçırma!
- Teknoblog'u Google Arama'da tercihli kaynağın yap ve Top Stories'de bizi daha sık gör.
Meta AI destek sistemi nasıl istismar edildi?
Meta, güvenlik açığının teknik ayrıntılarını kamuoyuyla paylaşmış değil. Bununla birlikte araştırmacılar, sistemin destek taleplerini değerlendirirken kullanıcıların fiziksel konum verilerine belirli ölçüde güvendiğini öne sürüyor. Neowin tarafından aktarılan bilgilere göre saldırganlar, hedef aldıkları hesabın bulunduğu bölgeyi taklit etmek amacıyla VPN hizmetlerinden yararlanıyordu. Böylece sistem, saldırganı gerçek hesap sahibiyle aynı konumda bulunuyormuş gibi algılayabiliyordu.
Bu ayrıntı dikkat çekici çünkü Meta, aralık ayında yayımladığı blog yazısında sistemlerinin kullanıcıların alışılmış cihazlarını ve sık kullanılan konumlarını daha başarılı şekilde tanıyabildiğini vurgulamıştı. Buna rağmen görünen o ki belirli koşullar altında bu doğrulama mekanizması yeterli korumayı sağlayamadı. Özellikle hesap kurtarma süreçlerinde yapay zekâ araçlarının daha fazla yetkiyle çalışması, güvenlik ve kullanım kolaylığı arasındaki dengeyi yeniden gündeme taşıdı.
Öte yandan olayın zamanlaması, son dönemde yaşanan bazı dikkat çekici sosyal medya hesap ihlalleriyle de örtüşüyor. Bunlar arasında Obama dönemine ait Beyaz Saray Instagram hesabı da bulunuyor. Uzun süredir paylaşım yapılmayan hesapta yapay zekâ ile oluşturulmuş bir görselin yayımlandığı ve siyasi içerikli mesajlar paylaşıldığı bildirildi. TMZ’ye konuşan Meta yetkilileri hesabın ele geçirildiğini doğrularken, saldırının yöntemi veya sorumluları hakkında ayrıntı vermedi.
Bunun yanında güzellik perakendecisi Sephora’ya ait hesapların ve üst düzey bir ABD Uzay Kuvvetleri yetkilisinin hesabının da aynı güvenlik açığından etkilenmiş olabileceği belirtiliyor. Bu iddialar henüz Meta tarafından doğrulanmış değil. Yine de olay, yapay zekâ destekli müşteri hizmetleri sistemlerinin güvenlik açısından ne kadar kapsamlı şekilde test edilmesi gerektiğini bir kez daha ortaya koyuyor. Kullanıcı deneyimini hızlandırmayı amaçlayan otomasyon çözümleri fayda sağlayabilse de hesap doğrulama süreçlerinde oluşabilecek küçük zafiyetlerin milyonlarca kullanıcıyı etkileyebilecek sonuçlar doğurabildiği görülüyor. Meta’nın açığı kapatmış olması kısa vadede riski azaltırken, olayın kapsamına ilişkin daha ayrıntılı bilgilerin ilerleyen dönemde ortaya çıkması bekleniyor.
Bu fırsatlar ilginizi çekebilir
Teknoblog'un satış ortaklıkları vardır. Bunlar, editoryal içeriği etkilemez, ancak Teknoblog, satış ortaklığı bağlantıları üzerinden satın alınan ürünler için komisyon kazanabilir.
