Pembobolan akun Instagram melalui celah pada asisten chatbot dukungan berbasis kecerdasan buatan milik Meta memunculkan perhatian besar, terutama karena salah satu akun yang ikut disebut adalah akun Instagram era pemerintahan Presiden Obama yang sudah tidak aktif sejak 2017. Pola serangan yang sama juga dikaitkan dengan akun milik Kepala Sersan Mayor Angkatan Luar Angkasa Amerika Serikat, John Bentivegna.
Kasus ini menjadi sorotan setelah sejumlah pengguna di Reddit dan X melaporkan pembajakan dengan ciri yang serupa. Dari laporan itu, terlihat bahwa pelaku tidak perlu menembus akun dengan cara lama yang rumit, melainkan memanfaatkan alur verifikasi yang dijalankan oleh sistem dukungan AI.
Salah satu korban yang mengaku terdampak adalah peneliti keamanan siber Jane Wong. Ia menyebut pembobolan berlangsung sangat cepat dan tidak diawali peringatan yang sempat disadari pemilik akun.
Wong mengatakan kata sandinya tiba-tiba berubah tanpa persetujuannya. Perubahan itu terjadi sebelum pemilik akun sempat memahami bahwa aksesnya sudah dialihkan.
Cara serangan dijalankan
Berdasarkan rekaman video yang beredar di X, pelaku memakai jaringan VPN untuk menyamarkan lokasi geografis. Langkah ini diduga membantu mereka menghindari deteksi proteksi otomatis Instagram yang biasanya menandai aktivitas mencurigakan dari lokasi berbeda.
Setelah lokasi disamarkan, pelaku masuk ke ruang obrolan dengan Meta AI Support Assistant. Di sana, peretas meminta asisten AI menambahkan alamat surat elektronik baru ke akun korban.
Asisten virtual Meta lalu mengirim kode verifikasi ke surel milik peretas. Kode itu kemudian dimasukkan kembali ke ruang obrolan, yang memicu bot menampilkan tombol pengaturan ulang kata sandi atau Reset Password.
Skema tersebut berbahaya karena pelaku tidak perlu mengambil alih surel asli yang terhubung ke akun Instagram korban. Dengan memanfaatkan respons sistem AI, akses bisa dialihkan tanpa metode pembobolan email tradisional.
Temuan teknis dan risiko yang muncul
Validasi forensik digital menunjukkan kotak masuk surel publik milik peretas menerima kode verifikasi resmi dari sistem asisten AI itu. Temuan ini memperkuat dugaan bahwa celah berada pada alur verifikasi yang diproses chatbot dukungan.
Kasus ini menyoroti risiko besar pada layanan pelanggan berbasis AI. Jika alur verifikasi tidak dirancang cukup ketat, satu celah kecil dapat dimanfaatkan untuk mengambil alih akun tanpa perlu menembus perlindungan utama secara langsung.
Respons Meta
Juru bicara Instagram, Andy Stone, menyatakan gangguan keamanan pada sistem pelayanan pelanggan berbasis AI tersebut sudah diperbaiki sepenuhnya. Meski begitu, Meta belum mengungkap jumlah pengguna yang terdampak dalam insiden pembobolan akses tidak sah itu.
Perusahaan juga belum memberi penjelasan terbuka mengenai seberapa luas serangan ini menjangkau akun lain. Namun, keterlibatan akun profil tinggi membuat temuan tersebut menjadi sorotan serius bagi keamanan layanan dukungan berbasis AI.
Source: teknologi.bisnis.com
