Serangan yang memanfaatkan asisten chatbot dukungan milik Meta menunjukkan bahwa celah kecil di alur verifikasi bisa berdampak besar pada keamanan akun Instagram. Pola ini tidak hanya menimpa akun biasa, tetapi juga menyeret nama besar seperti akun Instagram era pemerintahan Presiden Obama yang sudah tidak aktif sejak 2017.
Kasus tersebut menjadi perhatian karena pola pembobolannya muncul berulang pada beberapa akun yang disebut terdampak. Selain akun Obama, serangan itu juga dikaitkan dengan akun milik Kepala Sersan Mayor Angkatan Luar Angkasa Amerika Serikat, John Bentivegna.
Laporan soal pembajakan ini mencuat setelah sejumlah pengguna di Reddit dan X menyampaikan pengalaman dengan pola yang serupa. Dari situ terlihat bahwa pelaku tidak mengandalkan cara lama seperti menembus email utama korban, melainkan memanfaatkan respons sistem dukungan berbasis AI.
Salah satu korban yang menyebut dirinya terdampak adalah peneliti keamanan siber Jane Wong. Ia mengatakan akun Instagram miliknya dibajak sangat cepat, bahkan tanpa tanda awal yang sempat ia sadari sebagai peringatan.
Wong menuturkan kata sandi akun berubah tiba-tiba tanpa persetujuannya. Perubahan itu terjadi sebelum pemilik akun sempat memahami bahwa akses ke akun sudah dialihkan ke pihak lain.
Cara yang dipakai pelaku juga disebut cukup terstruktur. Berdasarkan rekaman video yang beredar di X, peretas menggunakan jaringan VPN untuk menyamarkan lokasi geografis mereka agar tidak mudah dikenali sistem proteksi otomatis Instagram.
Langkah penyamaran lokasi itu penting karena Instagram biasanya menandai aktivitas mencurigakan dari lokasi yang berbeda. Dengan jejak lokasi yang tertutup, pelaku diduga punya peluang lebih besar untuk melewati pengawasan awal sebelum masuk ke tahap berikutnya.
Setelah itu, pelaku membuka ruang obrolan dengan Meta AI Support Assistant. Di dalam percakapan itu, peretas meminta asisten AI menambahkan alamat surat elektronik baru ke akun korban.
Permintaan tersebut menjadi titik krusial dalam skema serangan. Asisten virtual Meta kemudian mengirim kode verifikasi ke surel milik peretas, bukan ke email asli yang terhubung dengan akun korban.
Kode itu lalu dimasukkan kembali ke ruang obrolan hingga bot menampilkan tombol pengaturan ulang kata sandi atau Reset Password. Dari sana, akses akun bisa dialihkan tanpa perlu mengambil alih surel asli korban terlebih dahulu.
Skema ini menunjukkan bahwa titik lemah tidak berada pada email tradisional, melainkan pada alur verifikasi yang diproses chatbot dukungan. Artinya, jika respons sistem AI tidak dirancang cukup ketat, pelaku dapat memanfaatkan celah prosedural untuk mengambil alih akun.
Bukti teknis juga ikut menguatkan dugaan itu. Validasi forensik digital menunjukkan kotak masuk surel publik milik peretas menerima kode verifikasi resmi dari sistem asisten AI tersebut.
Temuan itu memperkuat kesimpulan bahwa masalah muncul dari proses verifikasi chatbot, bukan dari pembobolan email biasa. Bagi layanan pelanggan berbasis AI, insiden seperti ini memperlihatkan betapa pentingnya pengamanan alur interaksi yang tampak sederhana namun berdampak besar.
Dari sisi respons, juru bicara Instagram, Andy Stone, mengatakan gangguan keamanan pada sistem pelayanan pelanggan berbasis AI itu sudah diperbaiki sepenuhnya. Meski begitu, Meta belum membuka jumlah pengguna yang terdampak dalam pembobolan akses tidak sah tersebut.
Belum ada pula penjelasan terbuka mengenai seberapa luas serangan ini menjangkau akun lain. Namun, karena menyentuh akun dengan profil tinggi, kasus ini langsung menjadi sorotan serius dalam pembahasan soal keamanan dukungan berbasis AI.
Source: teknologi.bisnis.com
