Kecerdasan buatan milik Meta dilaporkan ikut dimanfaatkan peretas untuk mengambil alih akun Instagram bernilai tinggi. Setelah itu, akun-akun tersebut dijual kembali di gray market, yakni jalur jual beli di luar kanal resmi yang tidak selalu masuk kategori tindak pidana di semua negara.
Modusnya tidak rumit. Pelaku memakai VPN untuk menyamarkan lokasi, lalu mendorong chatbot dukungan AI Meta agar mengubah alamat email yang terhubung ke akun target.
Bagaimana celah ini bekerja
Laporan 404 Media menyebut video eksploitasi itu beredar luas di grup Telegram yang diikuti peretas dan peneliti keamanan. Teknik ini disebut mudah dilakukan dan sempat dipakai untuk membajak akun Instagram bernilai ratusan ribu dolar, sebelum Meta menerapkan perbaikan darurat pada 29 Mei.
Cara kerjanya berawal dari proses pengaturan ulang kata sandi. Setelah itu, chatbot dukungan AI Meta dimanfaatkan untuk mengganti email pemilik akun, sehingga akses akun berpindah ke tangan pelaku.
Akun tokoh publik ikut menjadi sasaran
Sejumlah akun terkenal sempat terdampak dalam serangan ini. Akun Gedung Putih era Barack Obama dan akun kepala sersan utama Angkatan Luar Angkasa Amerika Serikat dilaporkan sempat diretas dan dipakai untuk menampilkan gambar serta pesan bernuansa pro-Iran.
Kedua akun itu kemudian berhasil dipulihkan. Peneliti keamanan Jane Manchun Wong juga mengaku akun miliknya sempat diretas dengan metode serupa, sehingga perhatian publik terhadap celah ini meningkat tajam.
Eksploitasi berlangsung lama
Neowin melaporkan teknik tersebut sudah aktif digunakan selama berbulan-bulan, tepatnya sejak Februari tahun ini. Dalam periode itu, ribuan akun diduga berhasil disusupi oleh peretas.
ZachXBT, peneliti intelijen sumber terbuka, menyebut sistem dukungan AI Meta memberi terlalu banyak akses. Menurutnya, sistem itu memungkinkan pengaturan ulang kata sandi tanpa perlindungan autentikasi dua faktor dan tanpa verifikasi identitas yang memadai.
Nilai akun jadi incaran utama
Dark Web Informer juga menjelaskan eksploitasi yang sama melalui akun X miliknya dan menyebut celah itu baru ditambal Meta. Ia bersama ZachXBT menyoroti bahwa peretas memburu akun Instagram dengan nilai pasar tinggi untuk dijual kembali.
Contoh yang disebutkan adalah akun pendek seperti @hey dan @jowo. CyberSec Guru menilai gabungan nilai gray market kedua akun itu bisa melebihi US$ 1 juta, karena akun semacam ini tetap bernilai tinggi meski hanya dikuasai pelaku dalam waktu singkat.
Nilai tersebut berasal dari pengaruh akun, peluang penjualan ulang, serta potensi penyamaran identitas atau peniruan merek. Dengan karakter seperti itu, akun media sosial berubah menjadi aset digital yang sangat menarik bagi pelaku kejahatan siber.
Masalah keamanan yang lebih dalam
CyberSec Guru menyebut kasus ini sebagai contoh klasik confused deputy problem. Dalam kondisi itu, sistem yang punya wewenang lebih tinggi bisa dipaksa menjalankan aksi untuk kepentingan pihak yang sebenarnya tidak berhak.
Pada kasus Meta, “deputi” itu bukan program biasa, melainkan model bahasa besar atau large language model. Karena respons AI bersifat probabilistik, sistem semacam ini bisa dipengaruhi lewat instruksi tertentu agar melakukan tindakan yang seharusnya ditolak.
MFA tetap jadi penghalang efektif
Meski celah ini serius, ada perlindungan yang terbukti membantu. Laporan KrebsOnSecurity menyebut peretas mengakui eksploitasi mereka gagal ketika menargetkan akun yang sudah mengaktifkan multifactor authentication atau MFA.
Bahkan bentuk MFA paling sederhana, seperti kode sekali pakai lewat SMS, masih cukup untuk menghentikan pengambilalihan akun melalui metode ini. Temuan itu memperlihatkan bahwa lapisan keamanan tambahan tetap menjadi penghalang penting bagi serangan yang menyasar akun bernilai tinggi.
Risiko saat AI diberi akses terlalu luas
Kasus ini juga menyoroti tren perusahaan teknologi yang makin agresif memberi agen AI kewenangan besar. Banyak sistem AI kini dapat memodifikasi, membuat, hingga menghapus data penting pengguna, sehingga pengamanan yang lemah bisa membuka risiko penyalahgunaan yang jauh lebih besar.
Meta sebelumnya meluncurkan asisten dukungan AI pada Maret 2026 dengan janji layanan yang andal selama 24 jam sehari, tujuh hari seminggu. Namun insiden ini menunjukkan bahwa akses luas pada sistem AI perlu dibarengi kontrol keamanan yang lebih ketat.
CyberSec Guru merekomendasikan verifikasi out of band sebelum perubahan dilakukan pada akun pengguna. Selain itu, perlu ada pembatasan permintaan atau rate limiting pada alur reset akun, pencatatan seluruh tindakan AI, deteksi anomali, dan gerbang keputusan yang deterministik agar tindakan sensitif tidak lolos tanpa pemeriksaan tambahan.
Source: www.beritasatu.com-
-
-
-
