Technologue.id, Jakarta – Fitur asisten dukungan berbasis kecerdasan buatan (AI) yang diluncurkan Meta untuk mempermudah pemulihan akun Facebook dan Instagram ternyata memiliki celah keamanan serius. Kerentanan tersebut dilaporkan telah dimanfaatkan oleh peretas untuk mengambil alih akun Instagram pengguna, termasuk akun yang telah dilindungi dengan autentikasi dua faktor (2FA).
Meta pertama kali memperkenalkan asisten dukungan AI tersebut pada Desember tahun lalu dengan janji mempercepat dan menyederhanakan proses pemulihan akun bagi pengguna yang terkunci dari akun mereka. Namun, sejumlah peneliti keamanan siber mengungkap bahwa alat yang sama justru dapat digunakan untuk membajak akun secara relatif mudah.
Laporan mengenai eksploitasi ini mulai ramai dibahas pada akhir pekan lalu setelah sejumlah peneliti keamanan membagikan temuannya melalui platform X. Mereka mengungkap bahwa panduan lengkap, tangkapan layar, hingga video demonstrasi pengambilalihan akun telah beredar luas di berbagai kanal Telegram.
Menurut para peneliti, pelaku hanya perlu meminta chatbot dukungan Meta AI untuk mengubah alamat email yang terhubung dengan akun target. Setelah email berhasil diubah, pelaku kemudian dapat melakukan reset kata sandi dan mengambil alih kendali akun tersebut.
Meta mengonfirmasi bahwa masalah tersebut kini telah diperbaiki. Meski demikian, perusahaan belum mengungkap berapa banyak akun yang terdampak sebelum celah keamanan tersebut ditutup.
"Kami telah memperbaiki masalah ini dan sedang mengamankan akun-akun yang terdampak," kata Wakil Presiden Komunikasi Meta, Andy Stone, dalam pernyataannya di platform X.
Laporan dari 404 Media menyebutkan bahwa diskusi mengenai kerentanan tersebut sebenarnya telah muncul di komunitas Telegram sejak Maret lalu. Namun, eksploitasi itu baru mendapatkan perhatian luas setelah sejumlah kasus pembajakan akun mencuat ke publik.
Berdasarkan analisis yang beredar, chatbot dukungan Meta AI tampaknya menggunakan kecocokan lokasi geografis sebagai salah satu faktor verifikasi identitas pengguna. Para peretas diduga memanfaatkan celah tersebut dengan menggunakan layanan VPN untuk menyamakan lokasi mereka dengan lokasi pemilik akun yang menjadi target.
Sebelumnya, Meta dalam unggahan blog resmi pada Desember lalu menyatakan bahwa sistem mereka kini lebih baik dalam mengenali perangkat yang biasa digunakan pengguna serta lokasi yang dianggap familiar.
Meski jumlah pasti korban belum diketahui, waktu kemunculan eksploitasi ini bertepatan dengan sejumlah insiden peretasan akun-akun penting. Salah satunya adalah akun Instagram Gedung Putih era Presiden Barack Obama yang sudah tidak aktif sejak 2017. Akun tersebut sempat mengunggah gambar hasil kecerdasan buatan dengan pesan provokatif sebelum akhirnya diamankan kembali.
Selain itu, laporan juga menyebut bahwa akun milik jaringan ritel kosmetik Sephora dan seorang pejabat senior Angkatan Luar Angkasa Amerika Serikat kemungkinan termasuk di antara target yang terdampak oleh eksploitasi tersebut.
