Security

Ekploitasi Asisten AI Meta HTS: Lebih dari 20.000 Akun Instagram Amblas Dicuri Peretas

19 seconds ago
3 minutes read

Kecerdasan Buatan (AI) yang disiapkan untuk membantu pengguna justru berbalik menjadi senjata makan tuan. Meta secara resmi mengungkapkan bahwa lebih dari 20.000 akun Instagram pengguna telah dibajak dalam sebuah insiden siber teranyar.

Ironisnya, para penyerang berhasil menguasai puluhan ribu akun tersebut dengan cara memanipulasi sistem layanan bantuan pelanggan (customer support) berbasis AI milik Meta sendiri untuk menyetel ulang (reset) kata sandi secara paksa.

Vektor Serangan: Celah Otentikasi pada AI “High Touch Support”

Akar dari malapetaka siber ini bersumber dari kelemahan fatal pada sistem High Touch Support (HTS), sebuah platform asisten AI pintar milik Meta yang dirancang untuk membantu pengguna memulihkan akses ketika mereka terkunci dari akun Instagram mereka.

Mekanisme Pembajakan Akun:

  • Tanpa Validasi Email: Peretas mengeksploitasi celah di mana asisten AI HTS ternyata tidak melakukan verifikasi atau pencocokan data apakah alamat email yang dimasukkan oleh pemohon memang benar-benar tertaut dengan akun Instagram yang sedang ditargetkan.
  • Tautan Reset Instan: Berkat kelengahan kecerdasan buatan tersebut, peretas bisa dengan mudah mendapatkan tautan pengaturan ulang kata sandi (password reset link) legal langsung dari Meta.
  • Melewati Benteng 2FA: Begitu tautan didapatkan, peretas bisa masuk dan menguasai akun-akun target secara instan, terutama menyasar akun pengguna yang tidak mengaktifkan fitur Otentikasi Dua Faktor (2FA).

Berdasarkan surat pemberitahuan data bocor yang diajukan Meta kepada Kantor Jaksa Agung Maine, investigasi forensik menunjukkan bahwa aktivitas pembajakan ini pertama kali meletus pada 17 April dan baru berhasil diidentifikasi serta dihentikan oleh tim internal Meta pada tanggal 31 Mei.

Deretan Data Sensitif yang Berpotensi Dikuras Peretas

Meskipun Meta mengeklaim belum memiliki data pasti mengenai seberapa banyak informasi pribadi yang sudah telanjur diunduh oleh peretas, mereka memperingatkan bahwa pelaku yang berhasil masuk ke akun korban otomatis mendapatkan akses penuh terhadap:

  • Informasi kontak utama (alamat email dan/atau nomor telepon).
  • Tanggal lahir pemilik akun.
  • Seluruh arsip unggahan media sosial (foto, video, dan konten Stories).
  • Pesan langsung (Direct Messages / DM) dan seluruh riwayat komunikasi rahasia.
  • Riwayat aktivitas akun dan interaksi digital.
  • Informasi profil lengkap hingga layanan pihak ketiga yang terhubung (linked services).

Tanggapan Meta dan Tindakan Penyelamatan Darurat

Setelah gelombang protes dari para korban membanjiri berbagai platform media sosial, Andy Stone selaku Vice President of Communications Meta menyatakan bahwa masalah tersebut saat ini telah berhasil diatasi dan Meta tengah bergerak mengamankan akun-akun yang terdampak.

Langkah Mitigasi yang Diambil Meta:

  1. Suntik Mati Sistem AI HTS: Meta langsung menonaktifkan total sistem layanan bantuan bertenaga AI (High Touch Support) tersebut serta membatalkan seluruh tautan reset kata sandi yang telah dihasilkan oleh sistem.
  2. Karantina Akun Massal: Seluruh akun yang terindikasi telah dicuri atau rentan langsung dimasukkan ke dalam pos pemeriksaan keamanan wajib (mandatory security checkpoint).
  3. Reset Kata Sandi Paksa: Pengguna yang terdampak diwajibkan untuk melakukan pengaturan ulang kata sandi baru serta melakukan proses otentikasi ulang demi merebut kembali hak kendali akun mereka.

“Sebelum meluncurkan kembali alat bantu (HTS) tersebut, Meta akan memperbaiki sistem pemeriksaan otentikasi pada titik masuk pemulihan Instagram guna memastikan verifikasi alamat email yang tepat terhadap data akun yang ada. Selain itu, kami sedang melakukan tinjauan komprehensif terhadap alur pemulihan akun serupa di seluruh platform Meta untuk mengidentifikasi dan memperbaiki potensi masalah,” tulis perwakilan Meta dalam rilis resminya.

Catatan Buruk Rapor Keamanan Siber Meta

Insiden eksploitasi AI ini menambah daftar panjang rekam jejak kelam Meta dalam urusan perlindungan privasi data konsumen. Sebelumnya, raksasa teknologi ini bertubi-tubi dijatuhi hukuman denda fantastis oleh regulator Uni Eropa (Irlandia), di antaranya:

  • Denda USD 264 Juta: Akibat kebocoran data tahun 2018 yang mengekspos nama, email, dan nomor telepon dari 29 juta akun Facebook.
  • Denda EUR 265 Juta (November 2022): Karena gagal melindungi data pengguna Facebook dari aksi pengerukan data massal (scraping).
  • Denda EUR 91 Juta: Karena kecerobohan fatal internal perusahaan yang menyimpan ratusan juta kata sandi pengguna dalam bentuk teks biasa tanpa enkripsi (plaintext).

Sumber: Surat Pemberitahuan Data Breach Meta / Laporan Investigasi Wordfence & Maine OAG 2026

Tags
19 seconds ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button