Meta AI - Reuters
- Hackerlar, Meta'nın yapay zeka destekli müşteri temsilcisi botunu manipüle ederek hesap kurtarma süreçlerini kötüye kullandı.
- Saldırganlar, hedef hesapların e-posta adreslerini değiştirip şifre sıfırlama işlemlerini kendi lehlerine gerçekleştirdi.
- Eski ABD Başkanı Barack Obama'nın Beyaz Saray dönemine ait hesabı, Sephora ve ABD Uzay Kuvvetleri'ne bağlı bazı hesaplar saldırıdan etkilendi.
- Olay, kritik güvenlik süreçlerinde yapay zekaya ne ölçüde güvenilebileceği tartışmasını yeniden gündeme taşıdı.
Meta'nın kullanıcı sorunlarını çözmek amacıyla geliştirdiği yapay zeka destekli müşteri temsilcisi sistemi, siber güvenlik dünyasında büyük yankı uyandıran bir güvenlik açığının merkezine yerleşti. Siber güvenlik araştırmacıları ve bilgisayar korsanları tarafından paylaşılan görüntüler, saldırganların yapay zekayı kandırarak hesap kurtarma mekanizmalarını kendi lehlerine kullanabildiğini ortaya koydu.
Yayınlanan videolar ve ekran görüntülerine göre saldırganlar, yapay zeka destekli destek botuna hedef hesabın iletişim bilgilerini değiştirmesi yönünde talimat verdi. Normal şartlarda sıkı güvenlik kontrollerine tabi olması gereken bu süreçte yapay zeka sistemi, talebi yeterli doğrulama yapmadan kabul etti.
Hesaplar birkaç adımda ele geçirildi
Paylaşılan görüntülerde, hackerların hedef hesaba ait e-posta adresini kendi kontrol ettikleri yeni bir adresle değiştirdiği görülüyor. Yapay zeka sistemi daha sonra doğrulama kodunu saldırganın belirlediği yeni e-posta adresine gönderiyor.
Kodun sohbet ekranına girilmesinin ardından sistem, saldırgana şifre sıfırlama seçeneği sunuyor. Böylece hackerlar, hesabın gerçek sahibinin bilgisi olmadan şifreyi değiştirerek hesabın kontrolünü tamamen ele geçirebiliyor.
Araştırmacılar ayrıca saldırganların Meta'nın konum tabanlı güvenlik önlemlerini aşmak amacıyla VPN hizmetlerinden yararlandığını tespit etti.
Ünlü isimler ve kurumlar da hedef oldu
Meta, yaşanan güvenlik açığını doğrulayarak sorunun giderildiğini ve etkilenen hesapların güvenliğinin yeniden sağlandığını açıkladı.
Saldırıdan etkilenen hesaplar arasında eski ABD Başkanı Barack Obama'nın Beyaz Saray döneminde kullandığı Instagram hesabının da bulunduğu belirtildi. Ancak saldırının kapsamı siyasi figürlerle sınırlı kalmadı.
Dünyaca tanınan kozmetik markası Sephora ile ABD Uzay Kuvvetleri'nde görev yapan bir başçavuşa ait resmi Instagram hesabının da aynı yöntemle ele geçirildiği bildirildi. Hafta sonu boyunca çok sayıda kullanıcı da Reddit ve X platformlarında hesaplarının benzer şekilde çalındığını öne süren paylaşımlar yaptı.
Meta, saldırıdan toplam kaç hesabın etkilendiğine ilişkin ise herhangi bir sayı paylaşmadı.
Yapay zekaya güven tartışması büyüyor
Olay, yapay zekanın kritik güvenlik süreçlerinde kullanılması konusunda yeni tartışmaları beraberinde getirdi.
Meta, yılın başlarında Facebook ve Instagram platformlarında yapay zeka destekli müşteri hizmetleri sistemini küresel ölçekte devreye almıştı. Şirket, sistemin dolandırıcılık ihbarları, sahte hesapların kapatılması ve şifre sıfırlama işlemleri gibi süreçleri kullanıcı adına yürütebildiğini duyurmuştu.
Ancak son güvenlik ihlali, hesap kurtarma ve kimlik doğrulama gibi yüksek riskli işlemlerde yapay zekanın tek başına karar vermesinin ciddi güvenlik açıklarına yol açabileceğini gösterdi. Uzmanlar, özellikle sosyal mühendislik saldırılarına karşı yapay zeka sistemlerinin daha güçlü denetim mekanizmalarıyla desteklenmesi gerektiğine dikkat çekiyor.
