Meta AI açığıyla bazı Instagram hesapları ele geçirildi
404 Media ve Donanım Günlüğü’nün aktardığı raporlara göre Meta’nın yapay zeka botu, saldırganların bazı Instagram hesaplarına erişim sağlamasına yol açtı. Hedefler arasında Barack Obama dönemine ait Beyaz Saray hesabı, kozmetik zinciri Sephora ile ABD Uzay Kuvvetleri’nden üst düzey bir isim olduğu belirtilen hesaplar yer aldı.
Olay nasıl gerçekleşti?
Raporda, hackerların Meta AI’ya hesabı yeni bir e-posta adresine bağlamasını söyleyerek süreci başlattıkları aktarıldı. Yapay zeka, yeni e-posta adresine gönderildiği belirtilen doğrulama kodunun sohbet ekranına girilmesini istedi. Doğru kod girildiğinde hesabın şifresinin sıfırlanması için bir buton gösterildi ve böylece saldırganlar hesabın kontrolünü ele aldı.
Ek olarak, saldırganların VPN kullanarak hedeflerin coğrafi konumunu taklit ettikleri ve böylece Meta’nın güvenlik doğrulamalarını atlatmaya çalıştıkları bildirildi. Bu iki unsurun bir araya gelmesi, sistemin yalnızca yapay zeka yanıtları üzerinden değil, konum takibinin kandırılmasıyla da suistimal edildiğini gösteriyor.
Meta’dan ilk tepki ve durumun kapsamı
Meta, ortaya çıkan açığı doğruladığını ve sorunun tespit edilip giderildiğini bildirdi. Şirket ayrıca etkilenen hesapların güvence altına alındığını açıkladı. Ancak kaç kullanıcının doğrudan etkilendiği konusunda net bir sayı paylaşılmadı; bu belirsizlik olayın etkisinin değerlendirilmesini zorlaştırıyor.
Şirketin resmi duyurusuna ilişkin bilgi için Meta’nın açıklamalarına bakılabilir: Meta’nın açıklaması.
Uzman değerlendirmesi: “Prompt injection” saldırısı
Güvenlik araştırmacısı Aiden Sinnott, olayın bir “prompt injection” saldırısı olduğuna dikkat çekti. Bu yöntem, yapay zekaya kötü niyetli veya manipülatif yönergeler vererek normalde yapmaması gereken işlemler gerçekleştirmesini sağlıyor. Sinnott, çevrimiçi hizmetlerde yapay zeka araçlarının daha yaygın kullanılmasının, benzer saldırı risklerini artırabileceğini belirtiyor.
Olası etkiler ve alınabilecek önlemler
Bu tür açıklıklar, özellikle kamu kurumları, büyük markalar ve askeri hesaplar gibi yüksek profilli hedefler için ek risk oluşturuyor. Yapay zeka destekli otomasyonların güvenlik kontrolleriyle birlikte değerlendirilmeye devam etmesi gerekecek.
Kullanıcılar için genel öneriler şu şekilde özetlenebilir:
- İki faktörlü doğrulama ve mümkünse fiziksel güvenlik anahtarları kullanmak,
- Hesap etkinliklerini düzenli kontrol etmek ve tanınmayan girişleri hemen bildirmek,
- Güvenlik bildirimleri ve e-posta adreslerinin güncelliğini sağlamak,
- Hassas hesaplarda ek güvenlik katmanları uygulamak.
Meta ve güvenlik araştırmacıları benzer açıkların takip edildiğini belirtirken, yapay zeka tabanlı hizmetlerin kullanıcı güvenliğiyle dengelenmesi konusu daha fazla dikkat gerektiriyor.
