Hackerlar, Meta AI üzerinden 20 binden fazla Instagram hesabına girdi

Saldırının merkezinde, Instagram hesabı için destek ve parola sıfırlama sürecini yöneten yapay zeka destekli “High Touch Support” aracı yer aldı. Sistem, kullanıcının verdiği e-posta adresinin ilgili Instagram hesabına gerçekten bağlı olup olmadığını yeterince kontrol etmedi. Böylece saldırganlar, hedef hesabın e-posta bilgisini kendi adresleriyle ilişkilendirdi ve ardından parola sıfırlama bağlantısı üzerinden hesaba giriş yaptı.

İlk haberlerde saldırganların VPN kullanarak hedef kişinin konumuna yakın görünmeye çalıştığı aktarıldı. Aralık ayında çıkan sistem, bu konum doğrulaması dışında hesap sahipliğini kanıtlayan güçlü bir kontrol uygulamadı. Öte yandan 404 Media, hacker’ların özellikle kısa ve değerli kullanıcı adlarına sahip hesapları hedef aldığını, bazı saldırganların Meta AI botu üzerinden ciddi para kazandığını yazdı.

Eski Meta mühendisi Jane Manchun Wong da saldırının hedefleri arasında yer aldı. Wong, Instagram hesabının hacklendiğini, şifresinin bilgisi dışında değiştiğini ve gün boyunca farklı parola sıfırlama girişimleri aldığını söyledi. Ayrıca Instagram iOS uygulamasından defalarca çıkarıldığını belirtti ve yaşadığı süreci “oldukça endişe verici” sözleriyle anlattı.

Meta sözcüsü Andy Stone, konuyla ilgili açıklamasında “Bu sorun çözüldü. Şu anda etkilenen hesapların güvenliğini sağlıyoruz.” ifadelerini kullandı. Şirketin bildiriminde, güvenlik açığının 31 Mayıs 2026’da fark edildiği ve hatalı parola sıfırlama bağlantılarının geçersiz hâle getirildiği bilgisi yer aldı. Bununla birlikte Meta, saldırganların bazı hesaplarda e-posta, telefon numarası, doğrudan mesajlar ve profil bilgileri gibi verilere erişmiş olabileceğini kabul etti.

The Verge, olayla bağlantılı yüksek profilli örnekler arasında Barack Obama dönemine ait White House hesabını, Sephora’yı ve Jane Manchun Wong’u saydı. TechCrunch ise saldırganların destek botunu ikna ederek hesaplara erişim aldığını ve olayın yalnızca klasik parola hırsızlığıyla açıklanamayacağını aktardı. Reuters’a konuşan güvenlik uzmanları, hesap kurtarma gibi hassas işlemlerde otomasyonun güçlü denetimlerle çalışması gerektiğini vurguladı.

Zaman çizelgesinde kaynaklar arasında bazı farklar bulunuyor. Bazı haberler aracın aralık ayında çıktığını belirtirken, Business Insider ve Inc, Meta’nın bu destek aracını mart ayında hesap sorunlarına yardımcı olacak biçimde daha geniş kullanıma açtığını yazdı. Buna rağmen olayın ana ekseni değişmiyor, Meta AI destek aracı e-posta eşleşmesini doğru kontrol etmedi ve saldırganlar bu hatayı kullanarak Instagram hesaplarını ele geçirdi.

Teknoblog'un satış ortaklıkl