Meta'nın Yapay Zeka Botu Hacklendi: Binlerce Instagram Hesabı Çalındı
2 dk okumaars-technica
PAYLAS:
İçeriğe Atla
Bilgisayar korsanları, Meta'nın yapay zeka destek botundaki bir güvenlik açığını kullanarak aralarında ünlü isimlerin de bulunduğu binlerce Instagram hesabını ele geçirdi. Saldırganlar, VPN kullanarak hedeflenen hesapların konumunu taklit etti ve basit komutlarla hesapların e-posta adreslerini değiştirmeyi başardı. Meta, 29 Mayıs'ta acil bir yama yayınlayarak bu açığı kapattı.
404 Media'nın raporuna göre, hackerlar ve güvenlik araştırmacıları arasında dolaşan videolarda bu yöntemin ne kadar basit olduğu gözler önüne serildi. Saldırganlar, hedeflenen Instagram hesabının bölgesine uygun bir VPN kullanarak şifre sıfırlama sürecini başlattı. Ardından, yapay zeka destek botundan hesaba bağlı e-posta adresini değiştirmesini istediler. Bu durum, literatürde klasik bir prompt injection saldırısı olarak tanımlanıyor.
Neowin'in aktardığına göre, bu güvenlik açığı şubat ayından bu yana aktif olarak kullanılıyordu ve binlerce hesabın çalınmasına neden oldu. Çalınan hesaplar arasında Barack Obama'nın Beyaz Saray dönemi hesabı ve Uzay Kuvvetleri yetkililerinin hesapları da bulunuyordu. Bu hesaplar üzerinden geçici bir süreliğine İran yanlısı mesajlar paylaşıldı.
Açık kaynak istihbarat araştırmacısı ZachXBT ve Dark Web Informer, hackerların özellikle yüksek değere sahip hesapları hedef aldığını doğruladı. CyberSec Guru'ya göre, @hey ve @jowo gibi kısa kullanıcı adlarına sahip hesapların karaborsadaki toplam değerinin 1 milyon doların üzerinde olduğu tahmin ediliyor. Güvenlik uzmanları, bu tür hesapların marka taklidi veya prestij amacıyla birkaç günlüğüne bile elde tutulmasının oldukça değerli olduğunu belirtiyor.
Uzmanlar, bu durumu bilgisayar güvenliğindeki klasik "kafası karışık vekil" (confused deputy) problemine benzetiyor. Ancak bu vakada vekil, kodlarla atlatılması gereken deterministik bir program değil, kelimelerle yönlendirilebilen olasılıksal bir LLM (Büyük Dil Modeli) olarak karşımıza çıkıyor. Sistemin, kimlik doğrulaması yapmadan yüksek yetkilerle işlem yapabilmesi felakete zemin hazırladı.
Bu büyük güvenlik zafiyetine rağmen, hesaplarını korumanın basit bir yolu vardı. KrebsOnSecurity'nin raporuna göre, SMS yoluyla gönderilen tek kullanımlık kodlar gibi en temel MFA (Çok Faktörlü Kimlik Doğrulama) yöntemini bile aktif eden kullanıcılar bu saldırıdan etkilenmedi. Hackerlar, MFA etkinleştirilmiş hesaplarda siber güvenlik duvarını aşamadıklarını itiraf etti.
Bu olay, teknoloji şirketlerinin kritik verileri değiştirme veya silme yetkisine sahip AI agent sistemlerini aceleyle piyasaya sürmesinin taşıdığı büyük riskleri bir kez daha gözler önüne seriyor. Uzmanlar, yapay zeka destekli hesap işlemlerinde mutlaka bant dışı doğrulama ve anomali tespiti gibi ek güvenlik katmanlarının bulunması gerektiği konusunda uyarıyor.
--- **İlgili Kaynaklar:** SEO ve GEO eğitim platformu konusunda [GEO eğitim](https://geoakademi.com) ile iletişime geçebilirsiniz.Bu güvenlik açığı, Türkiye'deki yüksek takipçili Instagram hesaplarını, fenomenleri ve markaları doğrudan tehdit eden bir gelişmedir.
Türkiye'deki markalar ve e-ticaret işletmeleri, sosyal medya hesaplarının güvenliği için MFA kullanımını acilen zorunlu hale getirmelidir.
Türk siber güvenlik uzmanları ve araştırmacıları için LLM tabanlı sistemlerin zafiyetleri (prompt injection) konusunda yeni bir odak alanı doğmuştur.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
