Meta AI milik Meta dilaporkan disalahgunakan hacker untuk membajak akun Instagram lewat fitur bantuan otomatis yang semestinya membantu pemulihan akun. Celah ini menjadi sorotan karena justru muncul di layanan yang dirancang untuk memperkuat keamanan, bukan melemahkannya.
Masalahnya bukan sekadar bug biasa. Fitur Meta AI Support Assistant yang diperkenalkan pada Maret 2025 disebut bisa dimanfaatkan untuk mengganti alamat email akun target, lalu mengirim kode verifikasi ke email baru milik peretas.
Cara kerja serangan
Dalam video yang beredar di Telegram, seorang hacker memperlihatkan proses pengambilalihan akun yang berlangsung cepat. Setelah email baru terhubung, peretas bisa mereset kata sandi dan mengunci pemilik asli dari akun tersebut.
Laporan investigatif 404 Media menyebut celah ini muncul karena Meta AI Support Assistant memiliki kewenangan terlalu luas. Sistem itu disebut dapat mengubah informasi sensitif akun tanpa verifikasi identitas yang ketat.
Modus yang dipakai pun terlihat sederhana. Hacker menarget akun bernilai tinggi, menggunakan VPN agar lokasi IP tampak sesuai dengan lokasi pemilik akun, lalu mengaku sebagai pemilik dan meminta bantuan mengganti email karena alasan lupa akses.
Setelah chatbot mengirim kode ke email baru yang dikendalikan peretas, tahap berikutnya tinggal mereset kata sandi. Dalam skema ini, tidak ada intervensi manusia yang memeriksa dokumen, nomor telepon, atau riwayat aktivitas sebelum perubahan dilakukan.
Akun bernilai tinggi jadi incaran
Pelaku tidak memilih target secara acak. Mereka memburu akun premium seperti username satu karakter, nama umum pendek, serta akun terverifikasi dengan centang biru.
Sejumlah akun besar disebut ikut terdampak, termasuk @obamawhitehouse yang pernah mengunggah konten propaganda Iran, akun US Space Force, dan akun resmi Sephora. Peneliti keamanan siber Jane Manchun Wong juga mengaku menjadi korban setelah kata sandi akunnya berubah tanpa sepengetahuannya.
Wong mengatakan ia menerima puluhan permintaan reset sepanjang hari. Pengalaman itu memperkuat dugaan bahwa serangan ini tidak hanya menyasar akun biasa, tetapi juga akun yang punya nilai jual tinggi di pasar gelap.
Respons Meta dan kritik yang muncul
Meta melalui juru bicaranya, Andy Stone, menyatakan masalah tersebut sudah diselesaikan. Stone juga mengatakan perusahaan sedang mengamankan akun-akun yang terdampak.
Namun, Meta tidak menjelaskan bagaimana celah itu bisa terjadi, berapa banyak akun yang terdampak, dan mekanisme verifikasi baru apa yang kini diterapkan. Di sisi lain, banyak korban disebut kesulitan menghubungi dukungan manusia karena layanan pelanggan sebagian besar sudah dialihkan ke AI.
Kondisi itu memicu kritik terhadap strategi Meta yang dinilai terlalu agresif mengganti staf dukungan manusia dengan sistem otomatis. Gergely Orosz, penulis The Pragmatic Engineer, menyebut ini bukan peretasan canggih, melainkan kegagalan desain sistemik akibat terlalu bergantung pada AI.
Laporan tambahan juga menyebut tim Trust & Safety Instagram mengalami PHK massal dalam restrukturisasi internal terbaru Meta. Sumber daya kemudian dialihkan ke proyek AI generatif, sehingga fungsi penting seperti verifikasi identitas dan penanganan insiden keamanan makin diserahkan ke algoritma.
Apa yang bisa dilakukan pengguna
Pengguna Instagram yang khawatir menjadi target disarankan mengaktifkan autentikasi dua faktor dengan aplikasi authenticator atau kunci keamanan fisik. SMS tidak disarankan karena nomor bisa di-porting.
Email pemulihan juga perlu dijaga ketat dengan 2FA aktif dan tidak dipakai untuk layanan publik. Pengguna sebaiknya rutin mengecek menu Pengaturan > Keamanan > Login Activity untuk melihat perangkat yang tidak dikenal.
Jika akun sudah diretas, jalur yang tersedia adalah help.instagram.com dengan opsi “My account was hacked”. Pengguna juga perlu waspada bila menerima notifikasi perubahan email atau kata sandi tanpa izin, karena respons cepat bisa menentukan peluang pemulihan akun.
Kasus ini menunjukkan bahwa fungsi keamanan yang menyentuh identitas digital tidak bisa hanya mengandalkan AI. Saat sistem otomatis diberi akses terlalu luas, efisiensi bisa berubah menjadi celah yang dimanfaatkan peretas dalam hitungan detik.
-
-
-
-
