Peretasan akun Instagram bernilai tinggi kini tidak hanya bergantung pada phishing atau pencurian sandi. Dalam kasus yang disorot baru-baru ini, chatbot dukungan AI Meta disebut ikut dimanfaatkan untuk mengambil alih akun, lalu akun tersebut dijual kembali di gray market.
Modus ini menarik perhatian karena celahnya tidak rumit dan menyasar sistem yang justru dirancang untuk membantu pengguna. Pelaku memanfaatkan akses AI yang terlalu longgar, lalu mengubah data penting akun tanpa perlu melewati lapisan verifikasi yang memadai.
Celah yang dipakai peretas
Laporan 404 Media menyebut video eksploitasi itu beredar luas di grup Telegram yang diikuti peretas dan peneliti keamanan. Teknik tersebut disebut mudah dilakukan dan sempat dipakai untuk membajak akun Instagram bernilai ratusan ribu dolar sebelum Meta menerapkan perbaikan darurat pada 29 Mei.
Alurnya dimulai dari proses pengaturan ulang kata sandi. Setelah itu, chatbot dukungan AI Meta didorong untuk mengganti alamat email yang terhubung ke akun target, sehingga akses berpindah ke tangan pelaku.
Peretas juga memakai VPN untuk menyamarkan lokasi. Langkah itu membuat aktivitas mereka lebih sulit dilacak saat menjalankan eksploitasi.
Akun tokoh publik ikut terdampak
Beberapa akun profil tinggi ikut menjadi sasaran dalam serangan ini. Akun Gedung Putih era Barack Obama dan akun kepala sersan utama Angkatan Luar Angkasa Amerika Serikat sempat diretas dan dipakai untuk menampilkan gambar serta pesan bernuansa pro-Iran.
Kedua akun itu kemudian berhasil dipulihkan. Peneliti keamanan Jane Manchun Wong juga mengaku akun miliknya sempat diretas dengan metode serupa, yang ikut meningkatkan sorotan terhadap celah ini.
Sudah dipakai berbulan-bulan
Neowin melaporkan teknik tersebut telah aktif digunakan selama berbulan-bulan, tepatnya sejak Februari tahun ini. Dalam periode itu, ribuan akun diduga berhasil disusupi oleh peretas.
ZachXBT, peneliti intelijen sumber terbuka, menilai sistem dukungan AI Meta memberi terlalu banyak akses. Menurutnya, sistem itu memungkinkan pengaturan ulang kata sandi tanpa perlindungan autentikasi dua faktor dan tanpa verifikasi identitas yang memadai.
Dark Web Informer juga menjelaskan eksploitasi yang sama melalui akun X miliknya dan menyebut celah itu baru ditambal Meta. Ia bersama ZachXBT menyoroti bahwa peretas memburu akun Instagram bernilai pasar tinggi untuk dijual kembali.
Akun bernilai tinggi jadi komoditas
Contoh akun yang disebut adalah akun pendek seperti @hey dan @jowo. CyberSec Guru menilai gabungan nilai gray market kedua akun itu bisa melebihi US$ 1 juta.
Nilai itu muncul dari pengaruh akun, peluang penjualan ulang, dan potensi penyamaran identitas atau peniruan merek. Dengan karakter seperti itu, akun media sosial berubah menjadi aset digital yang sangat menarik bagi pelaku kejahatan siber.
Masalah keamanan di balik AI
CyberSec Guru menyebut kasus ini sebagai contoh klasik confused deputy problem. Dalam situasi itu, sistem yang punya wewenang lebih tinggi dapat dipaksa menjalankan aksi untuk kepentingan pihak yang tidak berhak.
Pada kasus Meta, “deputi” itu bukan program biasa, melainkan model bahasa besar atau large language model. Karena respons AI bersifat probabilistik, sistem semacam ini bisa dipengaruhi lewat instruksi tertentu agar melakukan tindakan yang seharusnya ditolak.
MFA masih terbukti penting
Meski celah ini serius, perlindungan tambahan tetap memberi dampak nyata. Laporan KrebsOnSecurity menyebut peretas mengakui eksploitasi mereka gagal ketika menargetkan akun yang sudah mengaktifkan multifactor authentication atau MFA.
Bahkan bentuk MFA paling sederhana, seperti kode sekali pakai lewat SMS, masih cukup untuk menghentikan pengambilalihan akun melalui metode ini. Temuan itu menunjukkan bahwa lapisan keamanan tambahan tetap menjadi penghalang penting bagi serangan yang menyasar akun bernilai tinggi.
Risiko saat AI diberi akses luas
Kasus ini juga menyoroti tren perusahaan teknologi yang makin agresif memberi agen AI kewenangan besar. Banyak sistem AI kini dapat memodifikasi, membuat, hingga menghapus data penting pengguna, sehingga pengamanan yang lemah bisa membuka risiko penyalahgunaan yang jauh lebih besar.
Meta sebelumnya meluncurkan asisten dukungan AI pada Maret 2026 dengan janji layanan yang andal selama 24 jam sehari, tujuh hari seminggu. Namun insiden ini menunjukkan bahwa akses luas pada sistem AI perlu dibarengi kontrol keamanan yang lebih ketat.
CyberSec Guru merekomendasikan verifikasi out of band sebelum perubahan dilakukan pada akun pengguna. Selain itu, perlu ada pembatasan permintaan atau rate limiting pada alur reset akun, pencatatan seluruh tindakan AI, deteksi anomali, dan gerbang keputusan yang deterministik agar tindakan sensitif tidak lolos tanpa pemeriksaan tambahan.
Source: www.beritasatu.com-
-
-
-
