Kasus peretasan akun Instagram bernilai tinggi yang memanfaatkan chatbot dukungan AI Meta menunjukkan bahwa pintu masuk serangan siber tidak selalu datang dari teknik klasik seperti phishing. Justru sistem yang dibuat untuk membantu pengguna bisa berubah menjadi jalur yang dipakai peretas untuk mengambil alih akun lalu menjualnya kembali di gray market.
Yang membuat temuan ini ramai dibahas adalah caranya yang dinilai sederhana, tetapi dampaknya besar. Pelaku disebut memanfaatkan akses AI yang terlalu longgar untuk mengubah data penting akun tanpa melewati perlindungan yang memadai.
Laporan 404 Media menyebut video eksploitasi itu telah beredar luas di grup Telegram yang diikuti peretas dan peneliti keamanan. Teknik tersebut dikatakan mudah dilakukan, dan bahkan sempat dipakai untuk membajak akun Instagram bernilai ratusan ribu dolar sebelum Meta menerapkan perbaikan darurat pada 29 Mei.
Alurnya dimulai dari proses pengaturan ulang kata sandi. Setelah itu, chatbot dukungan AI Meta didorong untuk mengganti alamat email yang terhubung ke akun target, sehingga akses berpindah ke tangan pelaku.
Dalam menjalankan eksploitasi, peretas juga memakai VPN untuk menyamarkan lokasi. Langkah ini membuat aktivitas mereka lebih sulit dilacak saat mencoba mengambil alih akun.
Akun profil tinggi ikut jadi sasaran
Dampaknya tidak berhenti pada akun biasa. Beberapa akun profil tinggi ikut terseret dalam serangan ini, termasuk akun Gedung Putih era Barack Obama dan akun kepala sersan utama Angkatan Luar Angkasa Amerika Serikat.
Kedua akun itu sempat diretas dan dipakai untuk menampilkan gambar serta pesan bernuansa pro-Iran. Keduanya kemudian berhasil dipulihkan.
Peneliti keamanan Jane Manchun Wong juga mengaku akun miliknya sempat diretas dengan metode serupa. Pengakuan itu ikut memperkuat sorotan terhadap celah yang dimanfaatkan pelaku.
Sudah dipakai sejak Februari
Neowin melaporkan bahwa teknik ini telah aktif digunakan selama berbulan-bulan, tepatnya sejak Februari tahun ini. Dalam periode itu, ribuan akun diduga berhasil disusupi oleh peretas.
ZachXBT, peneliti intelijen sumber terbuka, menilai sistem dukungan AI Meta memberi terlalu banyak akses. Menurutnya, sistem itu memungkinkan pengaturan ulang kata sandi tanpa perlindungan autentikasi dua faktor dan tanpa verifikasi identitas yang memadai.
Dark Web Informer juga menjelaskan eksploitasi yang sama melalui akun X miliknya dan menyebut celah itu baru ditambal Meta. Ia bersama ZachXBT menyoroti bahwa sasaran utama para peretas adalah akun Instagram bernilai pasar tinggi yang bisa dijual kembali.
Akun tertentu jadi komoditas mahal
Akun pendek seperti @hey dan @jowo disebut sebagai contoh aset yang diburu. CyberSec Guru menilai gabungan nilai gray market kedua akun itu bisa melebihi US$ 1 juta.
Nilai tersebut muncul dari pengaruh akun, peluang penjualan ulang, dan potensi penyamaran identitas atau peniruan merek. Dengan karakter seperti itu, akun media sosial berubah menjadi komoditas digital yang sangat menarik bagi pelaku kejahatan siber.
Masalah keamanan yang lebih luas
CyberSec Guru menyebut kasus ini sebagai contoh klasik confused deputy problem. Dalam situasi seperti itu, sistem yang punya wewenang lebih tinggi bisa dipaksa menjalankan aksi untuk kepentingan pihak yang tidak berhak.
Pada kasus Meta, “deputi” itu bukan program biasa, melainkan model bahasa besar atau large language model. Karena respons AI bersifat probabilistik, sistem seperti ini bisa dipengaruhi lewat instruksi tertentu agar melakukan tindakan yang seharusnya ditolak.
Kasus tersebut juga menegaskan bahwa lapisan keamanan tambahan tetap penting. Laporan KrebsOnSecurity menyebut peretas mengakui eksploitasi mereka gagal ketika menargetkan akun yang sudah mengaktifkan multifactor authentication atau MFA.
Bahkan bentuk MFA paling sederhana, seperti kode sekali pakai lewat SMS, masih cukup untuk menghentikan pengambilalihan akun melalui metode ini. Temuan itu memperlihatkan bahwa kontrol keamanan dasar masih menjadi penghalang nyata bagi serangan yang mengincar akun bernilai tinggi.
Di sisi lain, insiden ini menyoroti tren perusahaan teknologi yang makin agresif memberi agen AI kewenangan besar. Banyak sistem AI kini dapat memodifikasi, membuat, hingga menghapus data penting pengguna, sehingga pengamanan yang lemah bisa membuka risiko penyalahgunaan yang lebih besar.
Meta sebelumnya meluncurkan asisten dukungan AI pada Maret 2026 dengan janji layanan yang andal selama 24 jam sehari, tujuh hari seminggu. Namun insiden ini menunjukkan bahwa akses luas pada sistem AI perlu diimbangi kontrol keamanan yang lebih ketat.
CyberSec Guru merekomendasikan verifikasi luar jalur sebelum perubahan dilakukan pada akun pengguna. Selain itu, perlu ada pembatasan permintaan atau rate limiting pada alur reset akun, pencatatan seluruh tindakan AI, deteksi anomali, dan gerbang keputusan yang deterministik agar tindakan sensitif tidak lolos tanpa pemeriksaan tambahan.
Source: www.beritasatu.com-
-
-
-
