Meta, AI sohbet botunun kötüye kullanılmasıyla binlerce Instagram hesabının hacklendiğini doğruladı

 (this.weekinsecurity.com)
1 puan yazan GN⁺ 7 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Instagram’ın AI destekli hesap kurtarma sistemindeki bir zafiyet, parola sıfırlama bağlantılarının saldırganların kontrolündeki e-posta adreslerine gönderilmesine yol açarak hesap ele geçirmeyi mümkün kıldı
  • Veri ihlali bildirimine göre Meta, en az 20.225 kişiye hesaplarının ihlal edildiğini bildirdi
  • Saldırganlar tüm Instagram hesabını ve bağlı hesapları ele geçirebiliyor, ayrıca iletişim bilgileri, doğum tarihi, profil bilgileri ile gönderiler, doğrudan mesajlar ve hesap etkinliğine erişebiliyordu
  • Ayrı bir kod yolundaki hata, talep edilen e-posta ile hesap e-postasının eşleşip eşleşmediğini doğrulayamıyor; bu da iki faktörlü kimlik doğrulama kapalı hesaplarda parola sıfırlamanın kötüye kullanılmasına izin veriyordu
  • Meta, AI sohbet botunu devre dışı bıraktı, hesap sıfırlama kod yolunu kaldırdı ve tekrarını önlemek için diğer sohbet botlarını da inceliyor

Etkilenenlerin sayısı ve erişilebilen bilgiler

  • Meta, veri ihlali bildiriminde en az 20.225 kişiye hesap ihlalini bildirdi; bunların 30’u Maine’de yaşıyor
  • Hesap ihlali, tüm Instagram hesabının ve bağlı hesapların ele geçirilmesine yol açabiliyor; buna iletişim bilgileri, doğum tarihi, profil bilgileri, gönderiler, doğrudan mesajlar ve hesap etkinliğine erişim de dahil
  • Hangi kişisel verilerin saldırı sırasında gerçekten erişildiği ise Meta tarafından henüz bilinmiyor

Zafiyet ve istismar yöntemi

  • İhlal, Instagram için kullanılan AI destekli hesap kurtarma sistemindeki bir zafiyetle ilişkili ve bu zafiyet Instagram kullanıcı hesaplarının parola sıfırlanmasında istismar edildi
  • Bu kusur, iki faktörlü kimlik doğrulama açık olmayan hesapların parolasını herkesin sıfırlayabilmesine izin veriyordu; sohbet botu da doğrulama kodunu hesap sahibinin e-postası yerine saldırganın kontrol ettiği e-postaya gönderiyordu
  • Ayrı bir kod yolundaki hata nedeniyle sistem, parola sıfırlamayı isteyen kişinin verdiği e-posta adresi ile ilgili Instagram hesabına bağlı e-posta adresinin eşleşip eşleşmediğini düzgün biçimde kontrol edemiyordu
  • Sistem, hesaba daha önce bağlı olmayan bir e-posta adresi verildiğinde isteği reddetmek yerine parola sıfırlama bağlantısını bu adrese gönderiyor, böylece yetkisiz üçüncü kişiler sahip olmadıkları hesapların sıfırlama bağlantılarını alabiliyordu
  • Saldırganlar bu aşamada kurbanın parolasını sıfırlayıp meşru sahip gibi davranarak hesabı ele geçirebiliyordu
Reklam

Zaman aralığı ve kullanıcı bildirimleri

  • Maine listesindeki kayıtlara göre saldırılar 17 Nisan civarında başladı ve Meta’nın bu hafta sohbet botunu güvence altına almasına kadar sürdü
  • Instagram, bu haftanın başında etkilenen kişilere parola sıfırlama bildirimleri göndermeye başladı; bazıları saldırıların hâlâ sürdüğünü bildirdi
  • Meta, etkilenen kullanıcılara parolalarını sıfırlamalarını ve güvenli, doğrulanmış kanallar üzerinden yeniden kimlik doğrulaması yapmalarını söyledi

Meta’nın adımları ve kalan belirsizlikler

  • Meta şu anda AI sohbet botunu devre dışı bıraktı ve sohbet botunun kullanıcı hesaplarını sıfırlamasını sağlayan kod yolunu kaldırdı
  • Şirket, benzer olayların tekrarlanmasını önlemek için platform genelindeki diğer sohbet botlarını da inceliyor
  • Sohbet botunun nasıl istismar edildiğine dair somut koşullar ise hâlâ net değil
  • Olay, Meta’nın AI’a odaklanmayı sürdürdüğü bir dönemde, binlerce çalışanı işten çıkarmasının ve üst düzey yöneticilere hisse teşviki vermesinin ardından yaşandı

İlgili okumalar

1 yorum

 
GN⁺ 7 시간 전
Hacker News görüşleri

  • Meta’nın ihlal bildiriminde, “aracın kendisi normal şekilde, amaçlandığı gibi çalıştı ancak ayrı bir kod yolundaki bir hata nedeniyle parola sıfırlama talep eden kişinin verdiği e-posta adresinin ilgili Instagram hesabının e-postasıyla eşleşip eşleşmediği düzgün biçimde doğrulanamadı” deniyor; ama buna normal çalışma ya da amaçlandığı gibi çalışma demek pek doğru görünmüyor

    • İtalyancada “ameliyat mükemmel geçti ama hasta öldü” diye bir ifade var
    • O cümle bana, “yazıldığı gibi çalıştı ve bu yazılım için sonuç olarak ya da dolaylı biçimde doğan zararlara ilişkin sorumluluğu ve garantiyi reddediyoruz” gibi geliyor
      ABD’de pek çok şeyi düzeltmek için UCC[1]’nin güncellenip ürünlerde kullanılan yazılımlar için sorumluluk reddi yapılamamasını sağlamak gerektiğini düşünmeye devam ediyorum
      [1] Universal Commercial Code -- https://www.law.cornell.edu/ucc
    • Yani araç doğru ve amaçlandığı gibi çalıştı ama bir bug yüzünden ne doğru ne de amaçlandığı gibi çalışmadı deniyor
    • Bir yanlışına dikkat çekildiğinde ya da yazılım sorunları hakkında müşteri desteği yanıtı istendiğinde Claude veya ChatGPT’nin ürettiği bahanelere epey benziyor
    • Buradaki mantık, yapay zekanın süslü biçimde paketlenmiş bir girdi sayfası olduğu yönünde
      Girdi alanının kullanıcı adı ve e-postayı alıp arka uç fonksiyonuna göndermesi amaçlandığı gibi çalışan bir giriş sayfası; sorun, arka uç fonksiyonunun e-postanın kullanıcı adıyla eşleşip eşleşmediğini doğrulamamasında

  • “Meta en az 20.225 kişiye hesaplarının ele geçirildiğini bildirdi… hacker’lar kurbanların Instagram hesaplarının tamamını ve bağlantılı hesapları kontrol altına alabildi; iletişim bilgileri, doğum tarihi ve profil bilgilerinin yanı sıra gönderilere, DM’lere ve hesap etkinliğine de erişebildi… hack olayı 17 Nisan civarında başladı ve bu haftaya kadar sürdü” deniyorsa, bu şok edici ölçekte

    • Meta’yı sevmem ama “şok edici” olup olmadığına mutlak sayıdan çok etkilenen kullanıcı oranına bakarak karar vermek gerektiğini düşünüyorum
      100 bin müşterili bir KOBİ için şok edici olabilir ama aylık 3 milyar aktif kullanıcısı olan bir internet devi için kötü olsa da “şok edici” olmayabilir
    • Görünüşe göre Meta, kendi hizmetinde bot trafiğinin çekinmeden bir şeyler yapmasına açıkça izin verdiği için tespitten kaçınmak mümkün olmuş
      İnsanların ordu gibi akın edip hesapları tek tek ele geçirdiğini söylemeyelim lütfen
    • Tek umduğum, AB’nin küresel cironun %4 üst sınırına çok yaklaşan bir GDPR cezası kesmesi
      Ama gerçekten müşterileri korumak gerektiğinde AB’nin bunu düzgün yapacağından da şüpheliyim

  • Yeni bir ürün için açılan hesap, otomatik bir sistem tarafından kalıcı olarak devre dışı bırakıldı ve bir insana itiraz etmenin yolu yoktu
    Bir Meta/Instagram yetkilisi bunu görürse, ayrıntıları kısa bir blog yazısında anlattım; yardımcı olursa sevinirim
    https://addisonwebb.com/blog/2026-06-05-Can%20Someone%20at%2...

    • Meta, ana hesabın ürün, işletme ya da insan dışı bir varlık için değil, bir kişi için oluşturulmasını istiyor
      Bu yüzden “kişi olduğunu doğrula” kontrolü çıktı ve ardından ana hesap, bir kişi olması gerektiğine dair topluluk kuralını ihlal ettiği gerekçesiyle kilitlendi
      Gönderdiğin bağlantıdaki topluluk kuralları sayfası oldukça yoğun; açıkça yetişkin içerik gibi bir şey paylaşmadıysan hiçbir şeyi ihlal etmediğini düşünmek kolay
      İhlal edilen madde, “işletme, evcil hayvan veya sanal karakter gibi insan dışı varlıkları temsil eden hesaplar oluşturmayın” kısmı
      Kişisel hesaptan işletme sayfası kurma sürecini izlemek gerekiyor
      Bugünlerde tüm sosyal medya platformlarında işletme sayfası oluştururken resmi yolu okumak önemli; hepsi spam ve dolandırıcılık sayfalarının saldırısını durdurma baskısı altında
    • Ne yazık ki bu çok yaygın; sektörde marka ya da ürün sayfası ilk kez oluşturulurken neredeyse öngörülebilir bir sonuç sayılır
      Yine de çözülmezse, bir marka/reklam ajansına ulaşıp yaklaşık 100 dolar vererek onların Meta temsilcisinden engelin kaldırılmasını istemeni öneririm
      Fiilen, böyle hesaplar açabilmek için Meta’da tanıdığı olan birini tanıyor olman gerekiyor
      İpucu: Bu sorunu Twitter’da ya da başka platformlarda paylaşmaman daha iyi olur. Üzerine tonla otomatik spam üşüşür
    • Antidetect browser denemek de bir seçenek
      Bunlar yeni hesap açmak gibi işler için yapılmış şeyler
    • Bir meetup grubu için tamamen ayrı bir hesap açmaya çalıştım ve aynı sorun oldu; ne yaptıysam çözülmedi
    • Bu kısım gerçekten berbat
      İş amaçlı kullanmak için bir hesap oluşturmaya çalıştığım her seferinde birkaç dakika içinde kimlik isteniyor ve sonunda hesap yine de yasaklanıyor
      Her şeyi kişisel hesap üzerinden yürütmek zorundasın

  • Bu konu birkaç gün önce Hacker News’te de paylaşılmıştı (https://news.ycombinator.com/item?id=48359102)
    Orada Meta’nın özensiz doğrulaması değil, gerçek hack yöntemi anlatılıyordu

  • Umarım bu olay Meta’nın gerilemesini biraz daha hızlandırır
    Dünya sosyal medya olmadan da gayet uyum sağlar

    • Gerçekçi olalım, bunun Meta üzerinde ne etkisi olacak? Birkaç kişi öfkelenir ama geri kalanlar umursamaz ve her şey her zamanki gibi devam eder
    • Bu şirketin hâlâ hisse başına 1 milyar doların üzerinde net kâr elde ettiğini anlamakta zorlanıyorum
    • Alternatif ne? 22 bin kişinin önemli bir kısmı, ancak büyük platformlarda ulaşılabilen geniş bir kitleye sahip hesaplar olabilir
      Ne yazık ki Meta, farklı demografiler arasında insanlara ulaşmayı sağlayan tek platforma en yakın şey ve asıl önemli olan, o 22 bin hesabı takip eden insanlar
      Onlar bu olaydan doğrudan zarar görmediği için Meta’yı terk etmeyecek ve %99’u bunun yaşandığını ya bilmiyor ya da umursamıyor

  • Yapay zeka destekli hesap kurtarma sistemi” ha; Meta tam olarak ne yapıyor?

    • O tatlı Kool-Aid'in tadına nasıl hayır denir ki
      Yine de bunu gerçekten yapmamaları gerekirdi ve bunun büyük yapay zeka IPO'ları üzerinde nasıl bir etkisi olacağını merak ediyorum
      Meta da bu alandaki büyük oyunculardan biri ama bunlar bile doğru düzgün yapamıyorsa...
    • Hesap kurtarma, hangi hizmet olursa olsun açık ara en fazla bilet açılan konu türüdür
      Çünkü insanlar kimlik bilgilerini unutuyor, kaybediyor, hackleniyor ya da taklit ediliyor; üstelik bu yalnızca meşru talepleri saydığınızda böyle
      Buna bir de her gün ortaya çıkan script kiddie'lerden fidye peşindeki şantajcılara, yani “değerli” kullanıcı adlarını çalmaya çalışanlara ve hükümet karşıtı hesaplara mesaj atan kişilerin DM'lerine erişmeye çalışan devlet aktörlerine kadar uzanan gayrimeşru talepler ekleniyor
      Dolayısıyla üç sonuç ortaya çıkıyor. Bir insanın bu taleplere bakması çok pahalı, talep işleme alınsa da alınmasa da PR hasarı muazzam olabilir ve kullanıcılar/müşteriler dünyadaki en zeki ve en zengin insanlardan ayıdan bile daha kötü muhakemeye sahip turistlere[1] ya da düzgün yazı yazamayan kişilere kadar uzanıyor
      Daha da kötüsü, çevrimiçi hizmetlerin çoğunun devlet tarafından verilmiş kimliklerle bağlantı kurmasının hiçbir yolu yok, telefon SIM'i gibi dolaylı araçlar da olmayabiliyor, her seviyede yolsuzluk işin içine girebiliyor ve özellikle “iştah kabartan” hedefler parasal değere dönüştürülebiliyorsa ortada milyonlarca dolar bile olabilir
      Sadece Instagram'ın bile dünya çapında 3 milyar kullanıcısı var; dolayısıyla kullanıcı desteği kaçınılmaz olarak çok pahalı olacak, ayrıca dünya genelinde aktif olarak kullanılan yaklaşık 7.000 dili[2] de kapsamak gerekecek ve saldırı hedefleri arasında ABD Başkanı kadar güçlü ya da Elon Musk kadar zengin insanlar da bulunuyor
      Bu yaklaşımın risk yönetiminin korkunç derecede yetersiz olduğu açık, ama en başta bu alan sanki önemsiz bir meseleymiş gibi davranmamak gerekir
      İşte bu yüzden yapay zekayı zorluyorlar; çünkü doğru yapılırsa ilk seviye destek masasının yükünü çok daha düşük maliyetle büyük ölçüde hafifletebilir
      [1] https://velvetshark.com/til/til-smartest-bears-dumbest-touri...
      [2] https://www.sapiens.org/language/world-languages-counting-me...

  • Başlık “Meta, güvensiz bir yapay zeka chatbotu yüzünden binlerce Instagram hesabının hacklendiğini doğruladı” olarak düzeltilmeli

  • Böyle bir şey yapılırken “kullanıcı farklı bir e-posta isteyebilir mi” sorusunun neden kelimenin tam anlamıyla ilk test olmadığını anlayamıyorum
    Ölçek çok büyük diye hiç test yapmıyorlar mı?

    • Bu icadın özü, insanları kafa yormak zorunda kalma yükünden kurtarmasında yatıyor
      İstisnalar olacaktır ama çoğu kişi, temelde tembel olabilmek için yapay zeka kullanmak istiyor
    • Savunmak gerekirse, muhtemelen LLM'ye hata yapmamasını söylemişlerdir
    • Çünkü yazılım sektörü kullanıcı deneyiminin sadeliği ile geliştirici deneyiminin sadeliğini karıştırıyor
      Geliştirme sırasında büyük olasılıkla ne kullanıcı deneyimi ne de destek görevlisinin deneyimi düşünülmüştür
      Muhtemelen sadece kendi geliştirme deneyimlerine bakıp LLM'ye bir chatbot yaptırdılar, çalıştı, bunun hızı belgelendi, yukarıya raporlandı ve hissedar yatırımını teşvik etti
      Önceden yeterince düşünülseydi, bu yapay zekanın mühendis olacağı ya da üretkenliği 100 kat artıracağı anlatısına ters düşerdi

  • Facebook'taki bazı gönderilerin altında görülen akıl almaz derecede kötü “Soru-Cevap chatbotu”na ve uygunsuz yorumlarla uygunsuz olmayanları çoğu zaman ayıramayan sisteme bakmak bile Meta'nın yapay zekada ne kadar geride olduğunu göstermeye yetiyor