Meta konfirmasi ribuan akun Instagram diretas lewat penyalahgunaan chatbot AI

 (this.weekinsecurity.com)
1 poin oleh GN⁺ 7 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Insiden ini memungkinkan pengambilalihan akun karena tautan reset kata sandi dikirim ke email yang dikendalikan penyerang akibat celah pada sistem pemulihan akun berbantuan AI milik Instagram
  • Berdasarkan surat pemberitahuan pelanggaran data, Meta memberi tahu setidaknya 20.225 orang tentang pelanggaran akun
  • Penyerang dapat mengambil alih seluruh Instagram dan akun yang terhubung, serta mengakses kontak, tanggal lahir, informasi profil, postingan, pesan langsung, dan aktivitas akun
  • Bug pada jalur kode terpisah gagal memverifikasi kecocokan antara email permintaan dan email akun, sehingga reset kata sandi pada akun dengan autentikasi dua faktor yang dimatikan bisa disalahgunakan
  • Meta telah menonaktifkan chatbot AI dan menghapus jalur kode reset akun, serta sedang memeriksa chatbot lain untuk mencegah kejadian serupa

Skala dampak dan informasi yang dapat diakses

  • Dalam surat pemberitahuan pelanggaran data, Meta memberi tahu setidaknya 20.225 orang tentang pelanggaran akun, termasuk 30 warga Maine
  • Pelanggaran akun ini dapat berujung pada pengambilalihan seluruh akun Instagram dan akun yang terhubung, disertai akses ke informasi kontak, tanggal lahir, informasi profil, postingan, pesan langsung, dan aktivitas akun
  • Meta menyatakan belum mengetahui apakah data pribadi tertentu benar-benar diakses selama peretasan

Kerentanan dan cara eksploitasi

  • Pelanggaran ini terkait dengan kerentanan pada sistem pemulihan akun berbantuan AI untuk Instagram, yang dieksploitasi untuk melakukan reset kata sandi akun pengguna Instagram
  • Cacat ini memungkinkan siapa pun mereset kata sandi akun yang tidak mengaktifkan autentikasi dua faktor, dan chatbot mengirimkan kode verifikasi ke email yang dikendalikan penyerang, bukan ke email pemilik akun
  • Karena bug pada jalur kode terpisah, sistem gagal memeriksa dengan benar apakah alamat email yang diberikan oleh pihak yang meminta reset kata sandi cocok dengan alamat email yang terhubung ke akun Instagram tersebut
  • Saat alamat email yang sebelumnya tidak pernah terhubung ke akun diberikan, sistem tidak menolak permintaan dan justru mengirim tautan reset kata sandi ke email tersebut, sehingga pihak ketiga yang tidak berwenang dapat menerima tautan reset untuk akun yang bukan miliknya
  • Pada tahap ini, penyerang dapat mereset kata sandi korban dan mengambil alih akun seolah-olah mereka adalah pemilik yang sah
Iklan

Periode kejadian dan pemberitahuan kepada pengguna

  • Berdasarkan daftar Maine, peretasan dimulai sekitar 17 April dan berlanjut hingga minggu ini saat Meta mengamankan chatbot tersebut
  • Instagram mulai mengirim pemberitahuan reset kata sandi kepada pihak yang terdampak pada awal minggu ini, dan sebagian melaporkan bahwa peretasan masih terus berlangsung
  • Meta mengarahkan pengguna yang terdampak untuk mereset kata sandi dan melakukan autentikasi ulang melalui kanal yang aman dan terverifikasi

Tindakan Meta dan ketidakjelasan yang masih tersisa

  • Meta kini telah menonaktifkan chatbot AI dan menghapus jalur kode yang memungkinkan chatbot mereset akun pengguna
  • Meta juga sedang memeriksa chatbot lain di seluruh platformnya untuk mencegah insiden berulang
  • Keadaan spesifik yang membuat penyalahgunaan chatbot ini bisa terjadi masih belum jelas
  • Insiden ini terjadi di tengah fokus berkelanjutan Meta pada AI, setelah PHK ribuan karyawan dan pemberian insentif saham kepada eksekutif puncak

Bacaan terkait

1 komentar

 
GN⁺ 7 jam lalu
Komentar Hacker News

  • Dalam pemberitahuan pelanggaran dari Meta tertulis bahwa “alat itu sendiri berfungsi normal, sesuai tujuan, tetapi karena bug di jalur kode terpisah, alat tersebut gagal memverifikasi dengan benar apakah alamat email yang diberikan oleh pihak yang meminta reset kata sandi cocok dengan email akun Instagram tersebut”, tetapi rasanya tidak tepat menyebut situasi ini sebagai berfungsi normal atau sesuai tujuan

    • Dalam bahasa Italia ada ungkapan, “operasinya berjalan sempurna, tetapi pasiennya meninggal”
    • Kalimat itu terbaca seperti “berjalan sebagaimana ditulis, dan kami menyangkal tanggung jawab maupun jaminan atas kerusakan konsekuensial atau insidental dari perangkat lunak ini”
      Aku terus berpikir bahwa untuk memperbaiki banyak hal di AS, UCC[1] perlu diperbarui agar disklaimer tanggung jawab untuk perangkat lunak yang digunakan dalam produk tidak lagi diperbolehkan
      [1] Universal Commercial Code -- https://www.law.cornell.edu/ucc
    • Artinya alat itu bekerja dengan benar sesuai tujuan, tetapi karena bug, alat itu juga tidak bekerja dengan benar maupun sesuai tujuan
    • Terdengar sangat mirip dengan alasan ngeles yang dikeluarkan Claude atau ChatGPT ketika dikoreksi soal kesalahan atau diminta jawaban dukungan pelanggan tentang masalah perangkat lunak
    • Logikanya di sini adalah bahwa AI hanyalah halaman input yang dibungkus agar terdengar meyakinkan
      Selama field input menerima nama pengguna dan email lalu mengirimkannya ke fungsi backend, itu adalah halaman input yang bekerja sesuai tujuan, dan masalahnya ada pada fungsi backend yang tidak memverifikasi apakah email tersebut cocok dengan nama pengguna

  • “Meta memberi tahu sedikitnya 20.225 orang bahwa akun mereka telah disusupi… para peretas dapat mengambil alih seluruh akun Instagram korban beserta akun tertaut, dan dapat mengakses informasi kontak, tanggal lahir, informasi profil, serta postingan, DM, dan aktivitas akun… peretasan dimulai sekitar 17 April dan berlanjut hingga minggu ini”, jadi ini skala yang mengejutkan

    • Aku tidak suka Meta, tetapi menurutku apakah sesuatu itu “mengejutkan” seharusnya dinilai dari persentase pengguna yang terdampak, bukan angka absolut
      Bagi perusahaan kecil-menengah dengan 100 ribu pelanggan itu akan mengejutkan, tetapi bagi raksasa internet dengan 3 miliar pengguna aktif bulanan, ini memang buruk namun belum tentu “mengejutkan”
    • Sepertinya ini bisa lolos dari deteksi karena Meta secara eksplisit mengizinkan traffic bot melakukan berbagai hal di layanannya tanpa banyak hambatan
      Jangan sampai orang-orang berkata seolah-olah ada pasukan yang datang bergerombol dan membobol akun satu per satu
    • Aku hanya berharap UE menjatuhkan denda GDPR yang sangat mendekati batas 4% dari pendapatan global
      Meski begitu, aku ragu UE benar-benar akan bertindak semestinya saat harus melindungi pelanggan

  • Akun yang dibuat untuk produk baru dinonaktifkan permanen oleh sistem otomatis, dan tidak ada cara untuk mengajukan banding ke manusia
    Jika ada orang Meta/Instagram yang melihat ini, aku menulis detail singkatnya di blog dan berharap bisa dibantu
    https://addisonwebb.com/blog/2026-06-05-Can%20Someone%20at%2...

    • Meta mewajibkan akun utama dibuat sebagai orang, bukan produk, bisnis, atau entitas nonmanusia
      Karena itu, setelah muncul proses verifikasi “buktikan bahwa Anda manusia”, akun utama itu dikunci karena melanggar pedoman komunitas bahwa akun utama haruslah manusia
      Halaman pedoman komunitas pada tautan yang dikirim itu cukup padat, sehingga jika Anda tidak mengunggah hal yang jelas-jelas seperti konten dewasa, mudah untuk mengira bahwa Anda tidak melanggar apa pun
      Klausul yang dilanggar adalah bagian yang mengatakan “jangan buat akun yang mewakili entitas nonmanusia seperti bisnis, hewan peliharaan, atau karakter virtual”
      Anda harus mengikuti proses membuat halaman bisnis dari akun pribadi
      Saat ini di semua platform media sosial, penting untuk membaca jalur resmi saat membuat halaman bisnis, dan semuanya sedang berada di bawah tekanan untuk menghentikan gempuran halaman spam dan penipuan
    • Sayangnya ini sangat umum, sampai-sampai di industri ini hampir menjadi hasil yang bisa diprediksi saat pertama kali membuat halaman merek atau produk
      Kalau tetap tidak beres, aku sarankan menghubungi agensi merek/iklan, membayar sekitar 100 dolar, lalu meminta mereka mengajukan pemulihan ke kontak Meta mereka
      Pada praktiknya, untuk bisa membuat akun seperti ini, Anda harus kenal seseorang yang kenal orang dalam di Meta
      Tips: sebaiknya jangan memposting masalah ini di Twitter atau platform lain. Spam otomatis akan berdatangan dalam jumlah besar
    • Mungkin bisa coba pakai browser anti-detect
      Itu memang dibuat untuk hal-hal seperti membuat akun baru
    • Aku pernah mencoba membuat akun yang benar-benar terpisah untuk grup meetup dan mengalami masalah yang sama; apa pun yang kulakukan tidak berhasil
    • Bagian ini benar-benar kacau
      Setiap kali mencoba membuat akun untuk tujuan bisnis, dalam hitungan menit aku diminta menyerahkan identitas, dan tetap saja akunnya akhirnya diblokir
      Semuanya harus ditangani lewat akun pribadi

  • Ini juga sempat muncul di Hacker News beberapa hari lalu (https://news.ycombinator.com/item?id=48359102)
    Isinya bukan soal verifikasi Meta yang ceroboh, melainkan penjelasan tentang metode peretasan yang sebenarnya

  • Semoga ini makin mempercepat kemunduran Meta
    Dunia akan baik-baik saja tanpa media sosial

    • Secara realistis, dampaknya ke Meta memang akan seperti apa? Beberapa orang akan marah, tetapi yang lain tidak akan peduli dan semuanya akan kembali seperti biasa
    • Aku masih sulit memahami bagaimana perusahaan ini masih menghasilkan lebih dari 1 miliar dolar laba bersih per kuartal
    • Apa alternatifnya? Cukup banyak dari 22 ribu akun itu kemungkinan punya audiens besar yang hanya bisa dijangkau lewat platform berskala besar
      Sayangnya, Meta nyaris menjadi satu-satunya platform yang memungkinkan orang menjangkau berbagai kelompok demografis, dan yang penting adalah orang-orang yang mengikuti 22 ribu akun itu
      Mereka tidak terkena dampak langsung dari kejadian ini, jadi mereka tidak akan meninggalkan Meta, dan 99% bahkan mungkin tidak tahu atau tidak peduli bahwa ini terjadi

  • Sistem pemulihan akun berbasis AI”? Sebenarnya Meta ini sedang ngapain?

    • Mana mungkin menolak rasa Kool-Aid yang manis itu
      Tetap saja, ini benar-benar seharusnya tidak dilakukan, dan saya penasaran apa dampaknya terhadap IPO AI besar
      Meta juga salah satu pemain besar di bidang ini, jadi kalau mereka saja tidak bisa melakukannya dengan benar...
    • Pemulihan akun adalah jenis tiket yang paling dominan di layanan apa pun
      Karena orang lupa atau kehilangan kredensial mereka, diretas, atau ditiru identitasnya, dan itu baru kalau hanya menghitung permintaan yang sah
      Lalu ditambah permintaan ilegal, mulai dari script kiddie yang muncul setiap hari, pemeras yang mengejar tebusan, orang-orang yang ingin mencuri handle yang “bernilai”, sampai aktor negara yang ingin mengakses DM orang yang berkirim pesan ke akun anti-pemerintah
      Jadi ada tiga konsekuensi. Mahal sekali kalau manusia harus meninjau tiket-tiket ini, kerusakan PR bisa sangat besar baik saat permintaan diproses maupun tidak, dan pengguna/pelanggan itu sangat beragam, mulai dari orang paling cerdas dan kaya di dunia sampai turis yang penilaiannya lebih buruk daripada beruang[1] atau orang yang bahkan tidak bisa menulis dengan baik
      Lebih buruk lagi, banyak layanan online sama sekali tidak punya cara untuk mengaitkan akun dengan identitas resmi yang diterbitkan pemerintah, mungkin juga tidak punya pengganti seperti SIM ponsel, korupsi bisa menyusup di semua level, dan khususnya target yang “lezat” bisa bernilai hingga jutaan dolar jika dapat diuangkan
      Instagram saja punya 3 miliar pengguna di seluruh dunia, jadi dukungan pengguna pasti menelan biaya besar, mereka juga harus menghadapi sekitar 7.000 bahasa yang aktif digunakan di dunia[2], dan bahkan orang yang kekuasaannya sebesar presiden AS atau yang sekaya Elon Musk pun bisa menjadi sasaran serangan
      Jelas sekali manajemen risiko dari keseluruhan gagasan ini sangat buruk, tetapi jangan berpura-pura sejak awal bahwa area ini adalah masalah sepele
      Itulah mengapa mereka mendorong penggunaan AI, karena kalau dibuat dengan benar, ini bisa sangat mengurangi beban kerja help desk lini pertama dengan biaya jauh lebih rendah
      [1] https://velvetshark.com/til/til-smartest-bears-dumbest-touri...
      [2] https://www.sapiens.org/language/world-languages-counting-me...

  • Judulnya seharusnya diubah menjadi “Meta mengonfirmasi ribuan akun Instagram diretas karena chatbot AI yang tidak aman

  • Saat membuat hal seperti ini, saya tidak mengerti kenapa “apakah pengguna bisa meminta email yang berbeda” secara harfiah bukan pengujian pertama
    Apa karena skalanya terlalu besar jadi mereka sama sekali tidak menguji?

    • Hakikat dari penemuan ini adalah membebaskan orang dari beban harus memakai otak mereka
      Akan ada pengecualian, tetapi kebanyakan orang ingin memakai AI dengan pola pikir bahwa mereka boleh malas
    • Kalau mau membela mereka, mungkin mereka memang sudah menyuruh LLM untuk tidak membuat kesalahan
    • Karena industri perangkat lunak sedang mencampuradukkan kesederhanaan pengalaman pengguna dengan kesederhanaan pengalaman pengembang
      Sangat mungkin selama pengembangan mereka bahkan tidak memikirkan pengalaman pengguna, apalagi pengalaman staf dukungan
      Mereka hanya melihat pengalaman pengembang mereka sendiri, menyuruh LLM membuat chatbot, itu berjalan, kecepatannya didokumentasikan lalu dilaporkan ke atas untuk mendorong investasi pemegang saham
      Kalau ada pemikiran matang sebelumnya, itu akan bertentangan dengan narasi bahwa AI bisa menjadi engineer atau meningkatkan produktivitas 100 kali lipat

  • Cukup dengan melihat “chatbot Q&A” yang sangat buruk di bawah beberapa postingan Facebook, dan sistem yang sebagian besar tidak bisa membedakan komentar yang tidak pantas dan yang tidak, kita bisa tahu betapa tertinggalnya Meta dalam AI