20 Ribu Akun Instagram Dibajak Lewat Chatbot AI Meta, Termasuk Akun Obama dan Sephora

CLB.my.id - Lebih dari 20.225 akun Instagram kemungkinan besar telah dibajak oleh peretas yang memanfaatkan kelemahan pada chatbot dukungan AI milik Meta. Serangan yang pertama kali muncul pada 31 Mei 2026 ini menargetkan akun yang tidak mengaktifkan autentikasi dua faktor, termasuk akun Gedung Putih lama milik mantan Presiden Barack Obama.

Cara Peretas Membobol Sistem

Eksploitasi ini bekerja dengan cara yang mengejutkan sederhana. Peretas cukup meminta chatbot dukungan AI Meta untuk melakukan reset kata sandi. Dalam pengajuannya kepada negara bagian Maine, Meta menjelaskan bahwa alat tersebut bekerja dengan benar dan berfungsi sebagaimana mestinya. Namun, karena adanya bug di jalur kode terpisah, sistem tidak memverifikasi dengan benar apakah alamat email yang diberikan oleh pemohon reset kata sandi cocok dengan email yang terkait dengan akun Instagram tersebut.

Akibatnya, ketika seseorang memberikan alamat email yang sebelumnya tidak terkait dengan akun tersebut, sistem justru mengirimkan tautan reset kata sandi ke email yang tidak terkait itu, alih-alih menolak permintaan. Kondisi ini memungkinkan pihak ketiga yang tidak berwenang menerima tautan reset kata sandi untuk akun yang bukan milik mereka.

Korban Terkenal yang Terdampak

Serangan ini tidak mengenal status. Beberapa akun berprofil tinggi turut menjadi korban, termasuk akun Gedung Putih lama mantan Presiden Barack Obama, Sersan Kepala Angkatan Luar Angkasa Amerika Serikat John F. Bentivegna, dan merek kecantikan global Sephora. Keberagaman korban menunjukkan bahwa serangan ini menargetkan secara luas tanpa memandang profil atau jumlah pengikut.

Andy Stone, kepala komunikasi Meta, menyatakan bahwa perusahaan telah menyelesaikan insiden ini pada 1 Juni, sehari setelah serangan pertama kali terdeteksi. Namun, dampak dari serangan yang hanya berlangsung sekitar satu hari ini sudah cukup untuk membajak puluhan ribu akun.

Data yang Berisiko Terpapar

Meta mengaku tidak mengetahui apakah data pribadi telah diakses sebagai akibat dari eksploitasi ini. Namun, perusahaan mengakui bahwa peretas yang berhasil membajak akun berpotensi memperoleh berbagai informasi sensitif. Data yang berisiko terpapar meliputi alamat email, nomor telepon, tanggal lahir, postingan media sosial, pesan langsung, informasi profil, aktivitas akun, dan akun yang terhubung.

Cakupan data yang berpotensi terpapar ini menjadikan serangan tersebut lebih serius dari sekadar pembajakan akun. Informasi pribadi yang diperoleh dapat digunakan untuk serangan phishing yang lebih terarah, pencurian identitas, atau eksploitasi lebih lanjut terhadap korban dan kontak mereka.

Respons dan Penanganan Meta

Meta mengambil beberapa langkah penanganan setelah menemukan eksploitasi ini. Perusahaan menonaktifkan alat dukungan AI dan menghapus jalur kode yang bermasalah. Semua tautan reset kata sandi yang dihasilkan melalui eksploitasi tersebut dibatalkan. Meta juga mendaftarkan semua akun yang berpotensi terdampak ke titik pemeriksaan keamanan wajib yang memerlukan autentikasi sebelum mengakses akun.

Untuk pengguna Maine, Meta melaporkan 30 pengguna terdampak. Angka ini disebut sebagai batas atas dari pengguna yang kata sandinya di-reset melalui alat dukungan, tidak memiliki 2FA aktif, dan akun Instagram-nya kemungkinan besar diakses oleh pihak yang tidak berwenang. Meta mencatat bahwa beberapa akun mungkin telah diakses secara sah.

Pelajaran tentang Keamanan Chatbot AI

Insiden ini menjadi peringatan keras tentang risiko penerapan chatbot AI dalam layanan sensitif seperti pemulihan akun. Ketika AI diberi otoritas untuk melakukan tindakan keamanan tanpa verifikasi manusia yang memadai, bug kecil dalam kode dapat membuka celah yang sangat besar.

Kasus ini juga menunjukkan paradoks dalam otomatisasi keamanan. Chatbot AI dirancang untuk mempercepat dan mempermudah proses dukungan pelanggan. Namun, ketika sistem otomatis tersebut memiliki akses ke fungsi keamanan kritis, kesalahan dalam implementasinya dapat berdampak pada skala yang jauh lebih besar daripada kesalahan manusia.

Langkah yang Perlu Diambil Pengguna Instagram

Bagi pengguna Instagram, insiden ini menegaskan pentingnya mengaktifkan autentikasi dua faktor. Meta secara eksplisit menyebutkan bahwa akun yang menjadi target serangan adalah yang tidak memiliki 2FA aktif. Autentikasi dua faktor menambah lapisan perlindungan yang membuat pembajakan melalui reset kata sandi menjadi jauh lebih sulit.

Pengguna juga disarankan untuk memeriksa aktivitas akun mereka, memastikan email dan nomor telepon yang terdaftar masih valid dan terkendali, serta mengganti kata sandi secara berkala. Meskipun Meta telah menangani insiden ini, kejadian ini menjadi pengingat bahwa keamanan akun digital tetap menjadi tanggung jawab bersama antara platform dan pengguna.***