Instagram, çok sayıda kullanıcının hesabının ele geçirilmesine yol açan bir güvenlik açığını kapattı. Saldırı, Meta’nın kendi YZ tabanlı destek sohbet botunu kandırarak kurbanların hesaplarına erişim izni almaya dayanıyor.
Hafta sonu, Reddit’teki birkaç kullanıcı Instagram hesaplarının ele geçirildiğini iddia etti; X’teki birçok kullanıcı da benzer hesap çalma olaylarına karşı uyardı. Ele geçirilenler arasında, 2017’den beri aktif olmadığı bilinen Obama dönemi Beyaz Saray Instagram hesabı ve ABD Uzay Kuvvetleri baş kıdemli başçavuşu John Bentivegna’nın hesabı da yer alıyor.
Güvenlik araştırmacısı Jane Wong, kendi Instagram hesabının da başkalarının eline geçtiğini belirtti. Wong, “Şifrem bilgim dışında değiştirildi ve dün gün boyu farklı şifre sıfırlama girişimleri aldım.” dedi ve durumu “Oldukça endişe verici” olarak nitelendirdi.
X’te paylaşılan bir video, bir Instagram hesabının adım adım nasıl ele geçirildiğini gözler önüne serdi. İddiaya göre saldırgan, Instagram’ın otomatik hesap koruma sistemlerini devreye sokmaktan kaçınmak için hedef kişilerin muhtemel konumunu VPN kullanarak taklit etti. Sonrasında Meta AI Support Assistant ile bir sohbet başlatıp bottan hedef hesaba yeni bir e-posta adresi eklemesini istedi. Videoda, sohbet botunun saldırganın verdiği e-posta adresine bir doğrulama kodu gönderdiği; saldırganın da bu kodu botla paylaşarak botun ekranda bir “Şifreyi Sıfırla” düğmesi göstermesini sağladığı görülüyor. Saldırgan yeni bir şifre belirleyerek kurbanın hesabını tamamen kontrolü altına alıyor.
TechCrunch, videoda gösterilen hacker’a ait halka açık e-posta gelen kutusuna doğrulama kodunun gerçekten ulaştığını doğrulamayı başardı.
Saldırı, saldırganın hiçbir aşamada kurbanların Instagram hesabına bağlı olan orijinal e-posta adresini ele geçirmek zorunda kalmaması esasına dayanıyordu.
Pazartesi günü Instagram sözcüsü Andy Stone, Wong’un ve diğerlerinin paylaşımlarına verdiği yanıtta sorunun artık giderildiğini açıkladı. Kaç Instagram kullanıcısının hesabına bu yolla yetkisiz erişim sağlandığı ise henüz netlik kazanmadı.
Kaynak: https://techcrunch.com/2026/06/01/hackers-hijacked-instagram-accounts-by-tricking-meta-ai-support-chatbot-into-granting-access/
