1 saat önce
33
Kaynak:Hürriyet
Instagram’da bazı hesapların Meta’nın yapay zeka destekli yardım sistemi kandırılarak ele geçirildiği iddiası, dijital güvenlikte yeni bir tartışmayı başlattı. Saldırganların, destek botuna hedef hesaba yeni bir e-posta adresi bağlattığı ve ardından parola sıfırlama sürecini başlatarak hesaplara eriştiği öne sürüldü.
Instagram hesaplarının ele geçirilmesiyle ilgili iddia, yapay zeka destekli müşteri hizmetleri sistemlerinin ne kadar yetkilendirilmesi gerektiği sorusunu yeniden gündeme taşıdı. Olayda saldırganların, hedef hesabın mevcut e-posta adresine erişmeden Meta AI destek botunu yönlendirdiği ve yeni bir e-posta adresi üzerinden parola sıfırlama sürecini başlattığı belirtildi.
Meta, söz konusu sorunun giderildiğini açıklasa da yaşananlar, yapay zeka destekli sistemlerin yalnızca cevap veren araçlar olmaktan çıkıp kritik hesap işlemlerini yapabildiğinde çok daha büyük bir güvenlik riskine dönüşebileceğini gösterdi.
YZ ASİSTAN AÇIĞA DÖNÜŞTÜ
İddiaya göre saldırganlar, Instagram’ın destek sürecinde kullanılan yapay zeka destekli asistanı kandırarak hedef hesaplara yeni bir e-posta adresi ekletti. Ardından doğrulama kodu bu yeni adrese gönderildi ve parola sıfırlama adımı başlatıldı. Böylece saldırganların, hesabın gerçek sahibinin e-posta kutusuna erişmeden hesabı ele geçirebildiği öne sürüldü.
Siber Güvenlik Uzmanı Osman Demircan’a göre bu olay, artık riskin yalnızca klasik yazılım açıklarından ibaret olmadığını ortaya koyuyor. Demircan, yetki verilmiş yapay zeka ajanlarının yanlış karar vermesinin de başlı başına bir güvenlik açığına dönüşebileceğini belirterek, “Yapay zeka destek sistemlerine kritik hesap işlemleri yaptırmak ciddi bir güvenlik riski doğurabiliyor” değerlendirmesinde bulundu.
Demircan’a göre Meta gibi büyük şirketlerde bu tür açıkların yaşanması, büyük ölçekli teknoloji şirketlerinin mutlak güvenli olduğu anlamına gelmediğini de gösteriyor. Google, Apple ve Meta gibi şirketler gelişmiş güvenlik ekiplerine sahip olsa da milyarlarca kullanıcıya hizmet verdikleri için saldırı alanları da çok geniş. Yanlış tasarlanmış bir hesap kurtarma süreci, müşteri destek botu, kimlik doğrulama akışı veya üçüncü taraf entegrasyon, tek bir hatayla milyonlarca kullanıcıyı etkileyebilecek sonuçlar doğurabiliyor.
RİSK SADECE INSTAGRAM DEĞİL
Uzmanlara göre bu tür açıkların daha büyük teknoloji ekosistemlerinde ortaya çıkması halinde risk çok daha geniş bir alana yayılabilir. Çünkü günümüzde bir Google, Apple ya da Meta hesabı yalnızca tek bir sosyal medya hesabı anlamına gelmiyor.
Demircan, Google hesabının ele geçirilmesi halinde Gmail, Drive, Fotoğraflar, YouTube, Android cihazlar ve başka platformlardaki parola sıfırlama süreçlerinin de etkilenebileceğine dikkat çekiyor. Apple hesabında ise iCloud fotoğrafları, cihaz yedekleri, konum bilgileri, App Store ödemeleri ve bağlı cihazlar risk altına girebilir. Meta tarafında ise Instagram ve Facebook hesapları üzerinden itibar saldırısı, dolandırıcılık, reklam hesabı suistimali, arkadaşlara mesajla oltalama ve kimlik taklidi yapılabiliyor.
Bu nedenle yapay zeka destekli sistemlerin yetkileri yeniden tartışmaya açılmış durumda. Demircan’a göre yapay zeka yalnızca yanıt veren bir araç olarak kaldığında risk daha sınırlı. Ancak hesap kurtarma, e-posta değiştirme, parola sıfırlama, ödeme veya veri erişimi gibi işlemleri yapabiliyorsa artık “yetkili personel” gibi değerlendirilmesi gerekiyor. Bu sistemlerde insan onayı, güçlü kimlik doğrulama, işlem limiti ve denetlenebilir kayıt mekanizması kritik önem taşıyor.
KULLANICILAR NE YAPMALI?
Bu tür olaylarda kullanıcıların tek başına tüm riski ortadan kaldırması mümkün değil. Çünkü sorunun önemli kısmı platformun kendi destek ve hesap kurtarma süreçlerinden kaynaklanıyor. Ancak kullanıcılar, hesaplarının ele geçirilmesini zorlaştırmak için bazı önlemleri mutlaka almalı.
Demircan’a göre ilk adım, iki faktörlü doğrulamayı açmak. Mümkünse SMS yerine doğrulama uygulaması, passkey veya fiziksel güvenlik anahtarı tercih edilmeli. Instagram, Apple ve Google gibi platformlar hesap güvenliği için farklı iki faktörlü doğrulama seçenekleri sunuyor. Google tarafında güvenlik kontrolü, güçlü ve benzersiz parola kullanımı, gereksiz uygulama ve eklentileri kaldırma gibi temel kontroller de öneriliyor.
Kullanıcıların Instagram, Gmail, iCloud, Facebook ve banka hesaplarında aynı parolayı kullanmaması gerekiyor. Her büyük hesap için ayrı ve güçlü parola tercih edilmeli. Ayrıca hesaplara bağlı e-posta adresi ve telefon numarası güncel tutulmalı. Çünkü saldırganlar hesap kurtarma süreçlerinde eski e-posta adresleri, unutulmuş telefon numaraları veya zayıf kurtarma yöntemlerinden yararlanabiliyor.
Bir diğer kritik nokta ise doğrulama kodları. Gerçek destek personeli ya da gerçek bir yapay zeka botu bile kullanıcıdan SMS veya iki faktörlü doğrulama kodunu istememeli. “Kodu bana söyle, hesabını kurtarayım” gibi ifadeler doğrudan dolandırıcılık işareti olarak görülmeli.
Kullanıcıların ayrıca hesaplarında açık olan oturumları düzenli olarak kontrol etmesi gerekiyor. Tanınmayan cihazlar, bilinmeyen ülke veya şehirlerden açılmış oturumlar, eski telefonlar ve artık kullanılmayan tarayıcı girişleri kapatılmalı. Sosyal medya hesaplarına bağlı reklam hesabı, işletme hesabı, ödeme yöntemi ve üçüncü taraf uygulamalar da gözden geçirilmeli. Kullanılmayan uygulama bağlantıları kaldırılmalı.
Yaşanan olay, dijital güvenlikte yeni dönemin yalnızca şifrelerden ibaret olmadığını bir kez daha gösterdi. Artık bir hesabın güvenliği; bağlı e-posta, telefon numarası, kurtarma yöntemi, iki faktörlü doğrulama, platformların destek süreçleri ve yapay zeka destekli sistemlerin ne kadar yetkilendirildiğiyle birlikte düşünülmek zorunda. Yapay zeka destekli yardım sistemleri, doğru denetlenmediğinde güvenlik zincirinin en zayıf halkasına dönüşebiliyor.
English (US) ·