Akun Instagram bernilai tinggi kini berubah menjadi target yang sangat menarik bagi peretas, karena setelah berhasil dikuasai akun itu bisa dijual lagi di gray market. Nilainya bukan hanya datang dari jumlah pengikut, tetapi juga dari peluang peniruan identitas, penyamaran merek, dan pengaruh yang melekat pada akun tersebut.
Yang mengejutkan, salah satu jalur yang dipakai dalam kasus terbaru justru melibatkan chatbot dukungan AI Meta. Sistem yang seharusnya membantu pengguna itu disebut dimanfaatkan untuk mengambil alih akun, lalu mengubah data penting tanpa melewati verifikasi yang memadai.
Cara kerja celah yang dipakai
Laporan 404 Media menyebut video eksploitasi ini beredar luas di grup Telegram yang berisi peretas dan peneliti keamanan. Tekniknya dinilai mudah dilakukan, sampai sempat dipakai untuk membajak akun Instagram bernilai ratusan ribu dolar sebelum Meta melakukan perbaikan darurat pada 29 Mei.
Alurnya dimulai dari proses pengaturan ulang kata sandi. Setelah itu, chatbot dukungan AI Meta didorong untuk mengganti alamat email yang terhubung ke akun target, sehingga akses berpindah ke tangan pelaku.
Untuk menyamarkan jejak, peretas juga memakai VPN. Langkah ini membuat lokasi mereka lebih sulit dilacak saat menjalankan eksploitasi.
Akun profil tinggi ikut terdampak
Serangan ini tidak berhenti pada akun biasa. Akun Gedung Putih era Barack Obama dan akun kepala sersan utama Angkatan Luar Angkasa Amerika Serikat sempat diretas dan dipakai untuk menampilkan gambar serta pesan bernuansa pro-Iran.
Kedua akun itu kemudian berhasil dipulihkan. Peneliti keamanan Jane Manchun Wong juga mengatakan akun miliknya sempat diretas dengan metode yang sama, sehingga perhatian terhadap celah ini semakin besar.
Sudah dipakai berbulan-bulan
Neowin melaporkan teknik tersebut telah aktif digunakan selama berbulan-bulan, tepatnya sejak Februari. Dalam periode itu, ribuan akun diduga berhasil disusupi oleh peretas.
ZachXBT, peneliti intelijen sumber terbuka, menilai sistem dukungan AI Meta memberi terlalu banyak akses. Menurutnya, sistem itu memungkinkan pengaturan ulang kata sandi tanpa perlindungan autentikasi dua faktor dan tanpa verifikasi identitas yang memadai.
Dark Web Informer juga menjelaskan eksploitasi yang sama melalui akun X miliknya dan menyebut celah itu baru ditambal Meta. Ia bersama ZachXBT menyoroti bahwa peretas memburu akun Instagram bernilai pasar tinggi untuk dijual kembali.
Mengapa akun tertentu begitu diburu
Sejumlah akun pendek menjadi contoh yang sering disebut, seperti @hey dan @jowo. CyberSec Guru menilai gabungan nilai gray market kedua akun itu bisa melebihi US$ 1 juta.
Nilai tersebut muncul dari kombinasi pengaruh akun, peluang penjualan ulang, serta kemungkinan penyamaran identitas atau peniruan merek. Dalam kondisi seperti ini, akun media sosial tidak lagi sekadar profil pengguna, tetapi berubah menjadi aset digital yang sangat menguntungkan bagi pelaku kejahatan siber.
Masalah keamanan di balik AI
CyberSec Guru menyebut kasus ini sebagai contoh klasik confused deputy problem. Dalam situasi seperti itu, sistem yang memiliki wewenang lebih tinggi dapat dipaksa menjalankan aksi untuk kepentingan pihak yang tidak berhak.
Pada kasus Meta, “deputi” tersebut bukan program biasa, melainkan model bahasa besar atau large language model. Karena respons AI bersifat probabilistik, sistem semacam ini bisa dipengaruhi lewat instruksi tertentu agar melakukan tindakan yang seharusnya ditolak.
Lapisan perlindungan yang masih bekerja
Meski celahnya serius, faktor keamanan tambahan tetap terbukti penting. KrebsOnSecurity melaporkan bahwa peretas mengakui eksploitasi mereka gagal ketika menargetkan akun yang sudah mengaktifkan multifactor authentication atau MFA.
Bahkan bentuk MFA paling sederhana, seperti kode sekali pakai lewat SMS, masih cukup untuk menghentikan pengambilalihan akun melalui metode ini. Temuan itu menunjukkan bahwa lapisan keamanan tambahan tetap menjadi penghalang penting bagi serangan yang menyasar akun bernilai tinggi.
Pelajaran dari akses AI yang terlalu luas
Kasus ini juga memperlihatkan risiko ketika perusahaan teknologi memberi agen AI kewenangan besar. Banyak sistem AI kini dapat memodifikasi, membuat, hingga menghapus data penting pengguna, sehingga pengamanan yang lemah dapat membuka ruang penyalahgunaan yang jauh lebih besar.
Meta sebelumnya meluncurkan asisten dukungan AI pada Maret 2026 dengan janji layanan andal selama 24 jam sehari, tujuh hari seminggu. Namun insiden ini menunjukkan bahwa akses luas pada sistem AI perlu dibarengi kontrol keamanan yang jauh lebih ketat.
CyberSec Guru merekomendasikan verifikasi out of band sebelum perubahan dilakukan pada akun pengguna. Selain itu, diperlukan pembatasan permintaan atau rate limiting pada alur reset akun, pencatatan seluruh tindakan AI, deteksi anomali, dan gerbang keputusan yang deterministik agar tindakan sensitif tidak lolos tanpa pemeriksaan tambahan.
Source: www.beritasatu.com