Meta tengah kalang kabut mengamankan ribuan akun Instagram yang diretas dalam gelombang serangan yang memanfaatkan kelemahan chatbot AI dukungan pelanggan perusahaan. Alih-alih menggunakan teknik phishing atau social engineering yang rumit, para peretas cukup mengetik perintah ke chatbot Meta AI — menyamar sebagai pemilik akun korban — dan memintanya untuk menghubungkan akun tersebut ke alamat email baru yang mereka kuasai. Chatbot mematuhi permintaan itu tanpa verifikasi lebih lanjut, memberi peretas kendali penuh untuk mereset kata sandi dan mengunci pemilik asli.
Juru bicara Meta, Andy Stone, mengakui adanya masalah dan menyatakan perbaikan telah dilakukan pada Senin lalu. Namun keesokan harinya, lebih banyak pengguna melaporkan akun mereka dibajak dengan metode yang sama. TechCrunch melihat diskusi di kanal Telegram tempat teknik ini dipublikasikan, di mana para peretas masih mengklaim bisa mengeksploitasi chatbot Meta dan mengiklankan akun hasil curian untuk dijual.
Akun Langka Jadi Target Utama, Diperjualbelikan di Pasar Gelap
Username pendek satu kata — seperti nama depan umum atau nama negara — menjadi sasaran empuk. Akun-akun ini, yang dikenal sebagai "OG handles" atau username generasi awal Instagram, memiliki nilai jual tinggi di pasar gelap karena kelangkaannya. TechCrunch melihat contoh akun yang diretas dengan username berupa nama orang dan negara yang kemudian ditawarkan sebagai barang koleksi digital.
Di antara korban yang disebutkan adalah akun Gedung Putih era Obama yang sudah tidak aktif — meski Meta membantah keterkaitan dengan serangan ini — serta akun Kepala Master Sersan Angkatan Luar Angkasa AS, John Bentivegna. Sejumlah besar pengguna dengan username unik dan pendek juga melaporkan kehilangan akses ke akun mereka.
Chatbot yang Dirancang untuk Membantu Justru Jadi Celah
Ironisnya, celah ini justru berasal dari fitur yang diluncurkan Meta pada Maret lalu: chatbot AI yang dirancang untuk "menyelesaikan masalah akun dari awal hingga akhir" dan mampu "mereset kata sandi secara aman." Dalam praktiknya, chatbot itu ternyata bisa menjalankan tindakan kritis — seperti mengganti email akun — tanpa memerlukan verifikasi manusia. Seperti dicatat 404 Media, ini berarti Meta memberikan kewenangan besar kepada AI untuk menangani operasi yang sebelumnya hanya bisa dilakukan oleh staf dukungan.
"Beberapa orang mungkin menerima notifikasi reset kata sandi dan beberapa mungkin ditanyai pertanyaan keamanan saat mencoba masuk," tulis Stone di X. Namun ia menolak menyebutkan berapa banyak akun yang terkena dampak.
Meta Mulai Kirim Peringatan, Korban Diminta Reset Sandi
Meta mulai mengirimkan email pemberitahuan kepada korban bahwa "aktivitas mencurigakan terdeteksi" dan akun mereka diduga telah dikompromikan. Email itu menyebut perusahaan telah mengambil langkah pengamanan dan meminta korban mereset kata sandi. Namun bagi banyak pengguna, peringatan itu datang setelah akun mereka sudah dikuasai peretas — dan dalam beberapa kasus, dijual ke pihak lain.
Serangan ini menyoroti risiko besar ketika perusahaan teknologi memberikan kendali penuh kepada AI untuk menangani operasi keamanan akun tanpa pengawasan manusia. Selama bertahun-tahun, pasar gelap username langka Instagram membutuhkan teknik kompleks seperti phishing, mengambil alih nomor telepon, atau menyuap orang dalam operator telekomunikasi. Kini, peretas cukup bertanya — dan chatbot Meta menurut.
