Informasi kontak, pesan langsung, dan akun yang terhubung semuanya berpotensi disusupi, kata Meta.
Peretas menggunakan Meta AI untuk meretas 20.225 akun Instagram, Meta melaporkan dalam pemberitahuan pelanggaran data pemerintah pada 6 Juni.
Berdasarkan pemberitahuan tersebut, pelanggaran terjadi pada tanggal 17 April, namun baru diketahui oleh perusahaan lebih dari sebulan kemudian, pada tanggal 31 Mei.
Perusahaan menjelaskan bahwa peretas mengeksploitasi bug yang sekarang telah teratasi pada alat dukungan bantuan AI, yang dirancang untuk membantu pengguna Instagram mengakses akun mereka setelah keluar.
“HTS (dukungan sentuhan tinggi) adalah alat dukungan berbantuan AI yang dirancang untuk membantu pengguna yang terkunci dari akun Instagram mereka mendapatkan kembali akses,” kata Amber Hannah, penasihat umum asosiasi Meta untuk respons insiden.
“Pengguna dapat meminta dukungan dari HTS dan, sebagai bagian dari proses tersebut, dapat meminta agar tautan pengaturan ulang kata sandi dikirimkan ke alamat email mereka.
“Alat itu sendiri berfungsi dengan baik dan berfungsi sebagaimana mestinya; namun, karena bug di jalur kode terpisah, sistem tidak memverifikasi dengan benar bahwa alamat email yang diberikan oleh individu yang meminta pengaturan ulang kata sandi cocok dengan alamat email yang terkait dengan akun Instagram pengguna tersebut.”
Bug ini memungkinkan peretas untuk menghindari terpicunya perlindungan akun otomatis Instagram, memungkinkan tautan pengaturan ulang kata sandi dikirim ke email yang tidak terhubung ke akun. Pelaku kejahatan kemudian dapat mengatur ulang kata sandi untuk mendapatkan akses ke akun korban. Pelanggaran tersebut memengaruhi akun yang tidak mengaktifkan autentikasi dua faktor.
Peretasan tersebut memengaruhi akun tokoh-tokoh terkemuka, termasuk akun Instagram Gedung Putih era Obama yang tidak aktif, pengecer kecantikan Sephora, dan pejabat senior Angkatan Luar Angkasa AS.
Meta mengatakan bahwa peretas berpotensi mengakses data sensitif, termasuk informasi kontak, pesan langsung dan komunikasi, serta akun yang terhubung dan layanan tertaut, seperti ID email. Perusahaan mengatakan akan memperbaiki bug tersebut sebelum meluncurkan kembali alat AI.
Pada tahun 2024, Komisi Perlindungan Data Irlandia mendenda Meta €251 juta atas pelanggaran data tahun 2018 yang memengaruhi sekitar 29 juta akun Facebook. Pada tahun yang sama, pengawas mendenda Meta €91 juta karena salah menyimpan kata sandi.
Pada tahun 2023, perusahaan tersebut didenda €1,2 miliar oleh DPC karena melanggar pedoman GDPR dengan mentransfer data pribadi pengguna ke luar UE.
Kejahatan dunia maya yang didukung AI dengan cepat menjadi masalah besar bagi perusahaan, karena serangan menjadi lebih sering dan canggih. Bulan lalu, peretas mencuri 8 TB data dari produsen elektronik Taiwan Foxconn, sementara raksasa manufaktur peralatan medis Stryker terkena serangan siber global.