Akun Instagram Bisa Diretas Lewat Meta AI? Begini Modusnya

Uzone.id — Meta AI Support Assistant punya tujuan untuk membantu pengguna Instagram ketika akun-akun mereka bermasalah–misalnya, lupa password atau ketika akun tiba-tiba ada yang meretas. 

Tapi, bagaimana jadinya kalau asisten AI yang seharusnya membantu menyelamatkan akun kalian justru jadi ‘senjata’ orang tak bertanggung jawab buat mengambil alih akun kalian?

Kasus ini nyata terjadi dan akun mantan presiden Amerika Serikat Barack Obama pun menjadi salah satu korbannya. Gak cuma itu, akun-akun centang biru milik tokoh terkenal juga menjadi incaran para penjahat siber tersebut. Kok bisa sih?

Ternyata, hal ini terjadi karena adanya celah di Meta AI yang berhasil dimanfaatkan oleh orang-orang tak bertanggung jawab. Gara-gara celah ini, ratusan akun bahkan sudah hilang dan diambil alih peretas.

Caranya mudah, saking mudahnya gak perlu skill coding untuk mengambil alih akun korban. Cukup dengan memerintah si Meta AI ini, lalu akun berhasil diambil alih.

Awal mulanya, peretas akan mengakses halaman "Lupa Kata Sandi" lalu mengklaim bahwa akunnya diretas, ia kemudian mengaktifkan VPN agar lokasinya sesuai dengan lokasi korban yang sedang mereka bidik (lokasi sekarang bisa ditemukan di menu "Tentang" pengguna lain). 

Peretas kemudian akan mengajukan permintaan untuk mengganti alamat email akun yang ingin dicuri menjadi akun miliknya.

Selanjutnya, Meta AI akan meminta verifikasi dengan melakukan selfie bergerak untuk membuktikan kalau mereka adalah pemilik asli akun tersebut. Pintarnya, si peretas akan menggunakan foto dari profil korban atau foto-foto selfie yang diunggah di akun korbannya.

Foto tersebut kemudian diedit bergerak menggunakan AI menjadi sebuah video sehingga bisa digunakan untuk verifikasi wajah.

Disinilah kelemahan Meta AI terlihat, asisten AI ini menerimanya begitu saja verifikasi ini karena tidak bisa membedakan antara selfie asli dan video yang dihasilkan AI dari wajah seseorang.

Setelah berhasil melewati tahapan ini, mereka kemudian berhasil mengganti alamat email menjadi milik mereka. 

Tautan reset kata sandi dikirim kemudian ke email mereka. Sekarang akun itu sudah jadi milik mereka. Lalu, otentikasi dua faktor (2FA) juga berhasil dilewati dalam proses tersebut, bahkan kode OTP pun bisa dikirimkan langsung oleh Meta AI ke peretas.

Hal ini menimbulkan kekhawatiran pengguna karena mudahnya para penjahat siber ini untuk mengambil alih akun pengguna tanpa harus mengotak-atik akun.

Lantas, bagaimana tindakan Meta?

Andy Stone selaku juru bicara Meta mengatakan ke para pengguna kalau pihaknya sudah mengambil tindakan untuk mengamankan akun dan juga memperbaiki celah di Meta AI.

"Masalah ini telah diselesaikan dan kami sedang mengamankan akun-akun yang terdampak," kata juru bicara Meta, Andy Stone.

Stone juga mengatakan bahwa klaim yang menyatakan kerentanan tersebut digunakan untuk meretas akun para pemimpin dunia ini "sama sekali tidak benar".