Hacker’lar Instagram’ın yapay zekâsını kullanarak hesapları ele geçirdi

Hacker’lar Instagram’ın yapay zekâsını kullanarak hesapları ele geçirdi Posted on 13 Haziran 2026 13 Haziran 2026 by Yusuf Arslan Meta’nın AI destek sohbet botu, Instagram hesaplarını ele geçirmek isteyen hacker’ların işine yarayan ciddi bir açıkla gündeme geldi. Saldırganlar, botu kullanarak hesaplara bağlı e-posta adreslerini değiştirmeyi başardı. Bunu yaparken VPN ile konumlarını hedef hesapla aynı bölgeye yakın gösterdiler.Sistemdeki açık, değerli Instagram hesaplarının gri piyasada el değiştirmesine kadar gitti . Meta, bu duruma müdahale edip 29 Mayıs’ta acil bir yama yayınladı.Saldırı nasıl çalıştıHacker’lar süreci oldukça basit bir akışla yürüttü:VPN açıp hedef hesabın bulunduğu bölgeye yakın bir konum seçtilerInstagram’da şifre sıfırlama sürecini başlattılarMeta’nın AI destek botuna e-posta adresini değiştirme talebi gönderdilerBot, bu isteği doğrulama sürecini düzgün kuramadığı için bazı durumlarda yerine getirdi . Bu da hesabın kontrolünün karşı tarafa geçmesine yol açtı.Bu yöntem, teknik olarak “prompt injection” olarak bilinen saldırı türüne giriyor.Açık uzun süre fark edilmeden kaldıGüvenlik araştırmalarına göre bu yöntem Şubat ayından beri aktifti. Yani hacker’lar aylar boyunca binlerce hesabı ele geçirdi.Son günlerde olayın görünür hale gelmesinin nedeni, yüksek profilli hesapların da hedef alınması oldu . Bazı araştırmacılar kendi hesaplarının da çalındığını açıkladı.Ayrıca ele geçirilen hesapların hızla yeniden satıldığı da raporlandı.Değerli hesaplar hızlı para kaynağı olduSaldırganlar özellikle kısa kullanıcı adına sahip hesaplara yöneldi. Bu hesaplar, birkaç gün bile elde tutulsa yüksek fiyatlara alıcı bulabiliyor.Sebep basit:marka gibi kullanılabiliyorsahte kimlik için avantaj sağlıyorsosyal “itibar” değeri taşıyorBu yüzden bazı hesapların toplam değerinin 1 milyon doların üzerine çıktığı tahmin edildi.Sorun nereden çıktıGüvenlik uzmanları bu açığı “confused deputy” problemi olarak tanımlıyor . Basit anlatımla:Sistemde güçlü yetkileri olan bir araç (burada yapay zekâ botu), daha zayıf bir kullanıcı tarafından kandırılıyor ve onun adına işlem yapıyor.Buradaki kritik fark şu: Klasik yazılımlar net kurallarla çalışır. Ama yapay zekâ, kelimelere göre karar verir ve bu yönüyle manipüle edilebilir.En temel güvenlik açığı: Doğrulama eksikliğiAraştırmacılar, iki faktörlü doğrulama (2FA) açık olan hesapların bu saldırılardan büyük ölçüde korunduğunu söylüyor . Özellikle SMS kodu gibi temel yöntemler bile ek bir bariyer oluşturuyor.Ama sorun sadece kullanıcı tarafında değil. Sistem tarafında da ciddi eksikler var.Sistem tasarımındaki kritik hataUzmanlara göre daha güvenli bir yapı için şu önlemler gerekli:Hesap değişikliklerinde ek doğrulamaRiskli işlemlerde hız sınırlamaAI üzerinden yapılan işlemlerin kayıt altına alınmasıAnormal hareketleri tespit eden denetim sistemiYapay zekâya kör yetki verilmemesiBu önlemler olmadan, AI destekli sistemler benzer açıklar üretmeye devam edebilir.