Meta AI Disalahgunakan Hacker untuk Bobol Akun Instagram!

Dalam insiden keamanan siber yang mengguncang pengguna media sosial, chatbot berbasis AI milik Meta dilaporkan dieksploitasi oleh hacker untuk membajak akun Instagram. Celah ini ditemukan pada fitur Meta AI Support Assistant, layanan bantuan otomatis yang diperkenalkan pada Maret 2025 untuk mempermudah pengguna menyelesaikan masalah akun seperti reset password, aktivasi autentikasi dua faktor (2FA), hingga pemulihan akses.

Namun, alih-alih menjadi solusi, fitur ini justru menjadi pintu belakang bagi peretas. Dalam video yang beredar di Telegram, seorang hacker menunjukkan bagaimana ia hanya perlu meminta chatbot Meta mengganti alamat email terhubung ke akun target dan dalam hitungan detik, menerima kode verifikasi langsung ke email-nya sendiri.

Setelah itu, prosesnya sederhana:

• Email baru dihubungkan ke akun korban
• Kata sandi di-reset melalui email tersebut
• Pemilik asli kehilangan akses permanen

Insiden ini bukan hanya mengejutkan tapi juga mengungkap risiko besar dari otomatisasi fungsi keamanan kritis menggunakan AI tanpa pengawasan manusia yang memadai.

Modus Operandi: Bagaimana Hacker Memanfaatkan Meta AI?

Menurut laporan investigatif dari 404 Media, celah keamanan muncul karena Meta AI Support Assistant diberi wewenang terlalu luas termasuk kemampuan mengubah informasi akun sensitif seperti alamat email, tanpa verifikasi identitas yang ketat.

Langkah-Langkah Peretasan:

• Targeting: Hacker memilih akun bernilai tinggi misalnya username pendek seperti @a, @x, atau nama brand langka.
• Spoofing Lokasi: Menggunakan VPN agar alamat IP-nya sesuai dengan lokasi geografis pemilik akun asli.
• Interaksi dengan Chatbot: Mengklaim sebagai pemilik akun dan meminta “bantuan” mengganti email karena “lupa akses”.
• Verifikasi Otomatis: Chatbot mengirim kode ke email baru (milik hacker).
• Pengambilalihan: Setelah email terhubung, hacker mereset password dan mengunci pemilik asli.

Yang paling mengkhawatirkan: tidak ada intervensi manusia dalam proses ini. Sistem AI secara otomatis menyetujui permintaan berisiko tinggi hanya berdasarkan narasi teks dari pengguna tanpa cross-check dokumen, nomor telepon, atau riwayat aktivitas.

Akun High Profile Jadi Sasaran Utama

Para pelaku tidak sembarangan memilih target. Mereka fokus pada akun Instagram premium yang memiliki nilai jual tinggi di pasar gelap:

• Username satu karakter (misal: @z, @q)
• Nama umum pendek (misal: @love, @king, @sky)
• Akun verifikasi atau bercentang biru

Beberapa kasus terkenal yang diduga terkait dengan metode ini:

• @obamawhitehouse – akun resmi era Presiden Barack Obama yang sempat mengunggah konten propaganda Iran
• Akun US Space Force – lembaga antariksa AS
• Akun resmi Sephora – merek kosmetik global

Peneliti keamanan siber ternama Jane Manchun Wong juga mengaku menjadi korban.

“Kata sandi akun saya berubah tanpa sepengetahuan saya. Saya menerima puluhan permintaan reset sepanjang hari,” tulisnya di X.

Respons Meta: “Masalah Sudah Diperbaiki”

Melalui juru bicaranya, Andy Stone, Meta mengonfirmasi bahwa celah keamanan telah ditambal.

“Masalah ini sudah diselesaikan dan kami sedang mengamankan akun-akun yang terkena dampaknya,” cuit Stone.

Namun, Meta tidak memberikan penjelasan teknis tentang:

• Bagaimana celah itu bisa terjadi
• Berapa banyak akun yang terdampak
• Apa mekanisme verifikasi baru yang diterapkan

Lebih parah lagi, banyak korban melaporkan sulitnya menghubungi dukungan manusia setelah akun mereka diretas karena sebagian besar layanan pelanggan kini dialihkan ke AI.

Kritik Tajam: Terlalu Percaya pada AI, Abaikan Keamanan

Insiden ini memicu gelombang kritik terhadap strategi Meta yang terlalu agresif menggantikan staf dukungan manusia dengan AI.

Gergely Orosz, penulis The Pragmatic Engineer, menyebut ini bukan serangan canggih melainkan kegagalan desain sistemik:

“Ini tampaknya bukan peretasan yang canggih. Ini lebih karena terlalu berlebihan mengandalkan AI untuk segala hal, sementara aspek keamanan tidak mendapat perhatian yang sama.”

Laporan tambahan mengungkap bahwa tim Trust & Safety Instagram mengalami PHK massal dalam restrukturisasi internal terbaru Meta, dengan sumber daya dialihkan ke proyek AI generatif.

Akibatnya, fungsi kritis seperti verifikasi identitas dan penanganan insiden keamanan diserahkan sepenuhnya pada algoritma yang, seperti semua model bahasa besar, rentan dimanipulasi melalui prompt engineering.

Apa yang Harus Dilakukan Pengguna Instagram?

Jika Anda khawatir akun Anda menjadi target, segera lakukan langkah-langkah berikut:

1. Aktifkan Autentikasi Dua Faktor (2FA)

Gunakan metode berbasis aplikasi (Authenticator) atau kunci keamanan fisik, bukan SMS karena nomor bisa di-ported.

2. Jangan Gunakan Email Umum atau Rentan

Pastikan email pemulihan Anda aman, dengan 2FA aktif dan tidak digunakan untuk layanan publik.

3. Pantau Aktivitas Login

Buka Pengaturan > Keamanan > Login Activity untuk melihat perangkat yang tidak dikenal.

4. Laporkan Jika Akun Diretas

Kunjungi help.instagram.com dan cari opsi “My account was hacked”. Meski lambat, ini masih jalur terbaik.

5. Waspadai Permintaan Aneh dari Chatbot

Jika suatu hari Anda menerima notifikasi bahwa email atau password diubah tanpa izin segera bertindak.

Pelajaran Penting: AI Bukan Pengganti Manusia dalam Keamanan

Kasus ini menjadi peringatan keras bagi seluruh industri teknologi:

• Fungsi yang melibatkan akses ke identitas digital harus tetap melibatkan manusia atau setidaknya sistem verifikasi multi-lapis yang tidak bisa dilewati hanya dengan teks persuasif.
• AI memang cepat dan hemat biaya. Tapi ketika menyangkut keamanan akun jutaan pengguna, efisiensi tidak boleh mengalahkan prinsip zero trust.

Meta mungkin sudah “memperbaiki” celah ini tapi pertanyaannya:

• Berapa banyak celah serupa yang masih tersembunyi di balik antarmuka AI yang terlihat ramah?

Kesimpulan: Era Baru Ancaman Siber Dimulai

Pembajakan akun Instagram via Meta AI bukan sekadar insiden terisolasi ia adalah tanda awal dari ancaman siber generasi baru, di mana AI tidak hanya alat peretas, tapi juga korban manipulasi.

Bagi pengguna, ini saatnya meningkatkan kewaspadaan digital.

Bagi perusahaan teknologi, ini panggilan untuk menyeimbangkan inovasi dengan tanggung jawab keamanan.

Dan bagi Meta? Ini ujian nyata apakah mereka benar-benar belajar atau hanya menambal lubang sementara, sambil terus membangun tembok rapuh dari janji AI.