Bir Açık Kapatıldı Ama Tartışma Bitmedi: Instagram’da Yapay Zekâ Alarmı

Siber güvenlik araştırmacıları ZachXBT ve Dark Web Informer, hafta sonu yaptıkları paylaşımlarda Instagram’da Meta AI destekli hesap kurtarma mekanizmasını etkileyen kritik bir güvenlik açığının tespit edildiğini açıkladı. Paylaşımlarda, açığın kısa süre önce kapatıldığı belirtilirken, özellikle çok faktörlü kimlik doğrulaması bulunmayan hesapların risk altında kaldığı ifade edildi.

“Meta AI Desteği Gereğinden Fazla Erişim İznine Sahipti”

ZachXBT, yaptığı açıklamada, “Meta AI desteği berbat durumda ve gereğinden fazla erişim iznine sahip. Bu sayede 2FA olmayan herhangi bir hesabın şifresi sıfırlanabiliyor ve sistem kimin olduğunu doğrulamıyor.” ifadelerini kullandı.

Dark Web Informer ise konuya ilişkin paylaşımında, “Instagram'da Meta AI kullanılarak MFA'sız hesapların şifrelerini sıfırlamaya izin veren bir açık vardı. Açık kısa süre önce kapatıldı.” açıklamasında bulundu.

Yapay Zekâ Karar Mekanizması Hedefteydi

Paylaşılan teknik değerlendirmelere göre sorun, klasik bir sistem ihlalinden ziyade Meta AI destekli hesap kurtarma aracının mimarisindeki güvenlik eksikliğinden kaynaklandı. Saldırganların chatbot sistemini manipüle ederek şifre sıfırlama kodlarını yeterli kimlik doğrulaması olmadan farklı kişilere yönlendirebildiği öne sürüldü.

Uzmanlar, yetersiz rate-limiting uygulamaları ve authentication enforcement eksiklikleri nedeniyle yalnızca kullanıcı adını bilen kişilerin hesap ele geçirme sürecini başlatabildiğini belirtti. Çok faktörlü kimlik doğrulaması bulunmayan hesapların bu süreçten doğrudan etkilenebileceği kaydedildi.

17,5 Milyon Kullanıcının Verileri Daha Önce Yayınlanmıştı

Güvenlik uzmanları, son olayın tek başına değerlendirilmemesi gerektiğine dikkat çekti. Ocak 2026’da “Solonik” takma adlı bir tehdit aktörünün BreachForums platformunda 17,5 milyon Instagram kullanıcısına ait veri setini ücretsiz olarak yayınladığı bildirildi.

Malwarebytes tarafından yapılan incelemelerde veri setinin rutin dark web taramalarında tespit edildiği aktarıldı. Söz konusu veriler arasında 16,5 milyon kullanıcı adı, 6,2 milyon e-posta adresi, 3,4 milyon telefon numarası, 12,4 milyon isim ve 1,3 milyon fiziksel adres bulunduğu belirtildi.

Teknik analizlerde verilerin, 2024 yılı sonunda yapılandırılmamış bir Instagram API endpoint’i üzerinden gerçekleştirilen geniş ölçekli veri kazıma faaliyetleriyle toplandığı değerlendirildi. Şifrelerin veri setinde yer almamasına rağmen, elde edilen bilgilerin phishing, SIM-swap ve kimlik hırsızlığı saldırılarında kullanıldığı ifade edildi.

Ortak Nokta Güvenlik Katmanlarındaki Eksiklikler

Uzmanlar, her iki olayın ortak paydasının yetersiz rate-limiting uygulamaları, yapay zekâ mantık katmanında eksik kimlik doğrulama süreçleri ve API güvenlik mimarisindeki yapısal açıklar olduğunu vurguladı.

Siber güvenlik uzmanları, kullanıcıların uygulama tabanlı iki faktörlü doğrulamayı etkinleştirmesi, SMS yerine Google Authenticator veya Authy gibi çözümleri tercih etmesi, hesaplara bağlı iletişim bilgilerini düzenli olarak kontrol etmesi ve beklenmeyen şifre sıfırlama taleplerine karşı dikkatli olması gerektiğini belirtti.

Kurumsal tarafta ise yapay zekâ destekli araçların hesap yönetimi süreçlerine entegre edilmesi sırasında kimlik doğrulama ve rate-limiting katmanlarının zorunlu hale getirilmesi, ayrıca API uç noktalarının düzenli penetrasyon testlerinden geçirilmesi önerildi.

Uzmanlar, “Sistemlerimiz ihlal edilmedi” yaklaşımının artık tek başına yeterli olmadığını, yapay zekâ destekli sistemlerin giderek büyüyen saldırı yüzeyinin merkezinde yer aldığını ifade etti.

Kaynak: CUMHA - CUMHUR HABER AJANSI