Agen dukungan AI Meta mengikat email pemulihan untuk siapa saja yang bertanya. SOC Anda tidak pernah melihat peringatan.
Agen dukungan AI Meta mengikat email pemulihan ke akun siapa pun yang bertanya, dan SOC tidak pernah melihat peringatan. Agen resmi menulis log transaksi yang sah, sehingga tidak ada apa pun di tumpukan deteksi yang diaktifkan. Penyerang meminta bot untuk melakukan perubahan, mengambil kode satu kali yang dikirim, dan menjalankan pengaturan ulang kata sandi, 404 Media melaporkan. Tidak ada malware, tidak ada kredensial yang dicuri, dan tidak ada injeksi cepat seperti yang dilakukan sebagian besar tim keamanan. Agen tersebut melakukan persis seperti yang dimaksudkan Meta. Inilah yang harus membuat pemimpin operasi keamanan tetap terjaga di malam hari: Pengambilalihan tersebut tidak mematahkan kendali; ia mengendarai salah satu yang sudah dipercaya. Apa yang dibutuhkan SOC adalah cara untuk menjalani setiap jalur pemulihan melalui jaringan audit dengan tim pembuat AI sebelum pembaruan berikutnya ditutup. Kisi Audit Otoritas AI di akhir artikel ini memetakan setiap penulisan autentikasi yang dapat dilakukan oleh agen pendukung di jalur pemulihan, apa yang dibuktikan oleh insiden Meta tentang masing-masing proses tersebut, mengapa SOC tetap gelap, dan kontrol yang menutupnya. Agen adalah aktor yang berwenang, sehingga SOC membaca pengambilalihan sebagai lalu lintas rutin. Dari dalam tumpukan deteksi, serangan tidak menghasilkan sinyal yang dapat dibaca oleh tumpukan tersebut. Agen mengikat email baru, lalu mengatur ulang kata sandi, dan log manajemen identitas dan akses keduanya menulis sebagai aktor yang berwenang, sehingga masing-masing masuk dalam status autentikasi sebagai transaksi yang sah. Tidak ada proses masuk yang anomali, tidak ada lonjakan autentikasi yang gagal, tidak ada apa pun untuk EDR atau DLP, tidak ada aturan SIEM yang cocok, karena tidak ada satu pun rangkaian yang tampak seperti serangan. Pengambilalihan berada di dalam batas kepercayaan yang dianggap aman oleh tumpukan. Tidak ada pijakan yang dapat ditemukan, karena agen adalah pijakannya, dan itu seharusnya ada di sana. Rantai itu hampir menghina dalam kesederhanaannya. Brian Krebs mendokumentasikan versi peretas pro-Iran yang diposting ke Telegram pada tanggal 31 Mei. Penyerang mengaktifkan VPN untuk muncul di wilayah korban, menghindari alarm lokasi Instagram, lalu meminta asisten dukungan untuk menambahkan email baru dan mengirimkan kode verifikasi, sebagaimana dikonfirmasi oleh BBC dari rekaman yang sama. Bot mematuhinya dan mengirimkan kode satu kali langsung ke penyerang, Gizmodo melaporkan. Penyetelan ulang selesai dan pemiliknya terkunci, dalam beberapa menit. Eksploitasi tersebut gagal terhadap akun mana pun yang mengaktifkan MFA, menurut Krebs. Akun yang dibajak bukanlah sasaran empuk. Mereka termasuk Sephora, pemimpin senior Angkatan Luar Angkasa AS, Sersan Utama John Bentivegna, peneliti Jane Manchun Wong, dan pejabat Gedung Putih Obama yang tidak aktif yang secara singkat memposting gambar yang dirusak, menurut 404 Media. Meta membantah akun Obama, menurut TechCrunch, dan menyebut klaim bahwa akun para pemimpin dibobol “sepenuhnya salah,” menurut BBC. Sisanya berdiri. MFA diadakan. Jalur pemulihan di sampingnya tidak. Detail yang menentukan siapa yang selamat sangatlah sempit. Krebs melaporkan serangan tersebut gagal terhadap akun mana pun dengan otentikasi multifaktor, bahkan SMS. Jalur pemulihan di sampingnya adalah kesenjangan. Ketika jalur tersebut meminta video selfie, penyerang menjalankan foto publik target melalui generator video AI dan mengirimkan klip tersebut, yang diterima Meta sebagai verifikasi identitas yang valid, gHacks melaporkan. Bagaimanapun kegagalannya adalah pintu pemulihan, bukan pintu login penjaga MFA. Hal ini menjadikan ini masalah arsitektur, bukan masalah Meta. MFA membuka jalur login untuk pemilik dan penyerang, namun jalur pemulihan berjalan di sampingnya, dibuat untuk melonggarkan pemeriksaan yang biasa karena ada saat pengguna kehilangan cara normal untuk masuk. Meta menempatkan agen di jalur tersebut dengan akses tulis ke status autentikasi dan tidak ada pemeriksaan deterministik antara permintaan yang meyakinkan dan perubahan yang dilakukan. Otorisasi tidak dapat hidup di dalam model, karena sistem percakapan dapat dibujuk untuk melewatkan pemeriksaan. Ia harus hidup di luar model, di dalam gerbang yang tidak dapat dinalar oleh agen untuk melewatinya. Peneliti keamanan mempunyai nama untuk pola ini, deputi yang bingung, sebuah sistem terpercaya yang ditipu untuk membelanjakan hak istimewanya atas nama penyerang. Ini bukan agen pendukung terakhir yang akan menyerahkan sebuah akun. Ian Goldin, peneliti ancaman di Black Lotus Labs Lumen, mengatakan kepada Krebs on Security bahwa bot AI mudah untuk direkayasa sosial seperti halnya agen manusia yang mereka gantikan, dan juga sangat ingin membantu. “Chatbot AI menciptakan permukaan serangan baru yang menarik, dan kita mungkin akan melihat lebih banyak serangan semacam ini,” kata Goldin. Setiap perusahaan yang menghubungkan agen ke dalam aliran pemulihan, penyediaan, atau kata sandi mengirimkan akses tulis yang sama seperti yang dilakukan Meta. Simon Willison, yang menciptakan istilah injeksi cepat, menjelaskannya dengan jelas di blognya. “Meta benar-benar menghubungkan sistem pendukung mereka ke dalam chatbot AI yang memiliki kemampuan untuk mempercepat seluruh proses pemulihan akun,” tulisnya. “Yang ini bahkan hampir tidak memenuhi syarat sebagai infeksi langsung. Jangan menghubungkan bot dukungan Anda untuk memungkinkan pengambilalihan akun dalam satu kesempatan.” Penyerang tidak pernah menipu agen tersebut. Penyerang bertanya, dan agen memiliki masukan yang tidak dipercaya, akses tulis, dan cara untuk mengeksekusi, semuanya sekaligus. OWASP menamai kelas ini sebelum Meta mengirimkannya, sebagai Agen Berlebihan di LLM06 dan Penyalahgunaan Identitas dan Hak Istimewa di ASI03 dalam Agentik AI Top 10. Label peringatan ada di kotak: Meta mendorong asisten ke setiap akun Facebook dan Instagram pada bulan Maret, menurut 404 Media, dengan kemampuan untuk mengatur ulang kata sandi dan menangani pemulihan, halaman produk menjanjikan “solusi, bukan hanya saran” di bawah baris “keamanan dan pemulihan akun”. Meta memberi agen kekuatan dan tidak pernah membangun gerbang untuk mengaturnya. Pemimpin operasi Keamanan Jaringan Audit Otoritas AI harus menjalankan ini terhadap agen dukungan mereka sendiri sebelum perpanjangan berikutnya ditutup. Setiap baris adalah penulisan autentikasi yang dibuat agen pada jalur pemulihan, dengan apa yang dibuktikan Meta, mengapa tumpukan Anda melewatkannya, dan kontrol yang menutupnya. Penulisan autentikasi Apa yang dibuktikan MetaMengapa tumpukan Anda melewatkannya Kontrol perusahaan dan pemilik Otentikasi login (MFA, petunjuk faktor) Ditahan saat login. Akun dengan MFA apa pun yang diaktifkan, bahkan SMS, tetap bertahan (Krebs). Kesenjangannya adalah jalur pemulihan di sampingnya. MFA membuka jalur login untuk pemilik dan penyerang. Ini tidak membuka jalur pemulihan di sampingnya. Terapkan MFA sebagai garis dasar dan perluas verifikasi langkah ke jalur pemulihan, login standar yang sama akan diperoleh (OWASP). Video selfie bukanlah bukti identitas. Agen mana pun yang beroperasi pada jalur yang tidak dicakup oleh MFA akan gagal dalam audit. Pemilik: IAM.Email rebindPengambilalihan penuh. Agen mengikat email yang dikendalikan penyerang berdasarkan permintaan, mengambil Sephora dan akun Angkatan Luar Angkasa AS (404 Media).IAM mencatat agen tersebut sebagai aktor yang berwenang, sehingga rebind dibaca sebagai transaksi yang sah dan tidak ada peringatan yang sampai ke SOC atau pemilik akun. Konfirmasikan out-of-band ke kontak terverifikasi yang ada sebelum rebind dilakukan, diberi gerbang di luar model, dan beri tahu alamat lama saat alamat tersebut berubah (IBM). Agen yang melakukan rebinding tanpa mengonfirmasi alamat lama akan gagal. Pemilik: IAM dan rekayasa platform. Reset kata sandi Pengambilalihan penuh dalam hitungan menit. Peneliti Jane Manchun Wong termasuk di antara akun yang terkena dampak (404 Media). Penyetelan ulang berjalan di jalur pemulihan, di luar pemeriksaan MFA masuk, sehingga tidak ada perintah faktor yang diaktifkan dan tidak ada aturan deteksi yang terpicu. Perlu faktor non-email kedua sebelum penyetelan ulang selesai. NIST menghapus email sebagai saluran out-of-band yang valid (NIST 800-63B). Penyetelan ulang agen harus membersihkan gerbang yang sama dengan penyetelan ulang manusia. Pemilik: IAM.Perubahan metode pemulihanPenguncian terus-menerus. Korban tidak bisa pulih sendiri. Lingkaran dukungan hanya menawarkan AI tanpa eskalasi manusia (BleepingComputer). Pertukaran diam-diam pada email atau telepon pemulihan akan menghapus jalur masuk kembali pemilik tanpa visibilitas SOC. Memerlukan peninjauan lanjutan pada perubahan apa pun, beri tahu metode sebelumnya, dan berikan akses dengan cakupan yang lebih kecil dan tertunda waktu setelah pemulihan sehingga pertukaran tidak pernah menyerahkan kontrol instan (Authsignal). Pertahankan jalur eskalasi manusia yang tidak bisa ditutup oleh agen. Pemilik: Operasi GRC dan TI. Eksekusi tindakan akunRisiko kecepatan. Pegangan Gedung Putih Obama yang tidak aktif secara singkat menunjukkan gambar yang dirusak selama foya, sebuah akun yang disengketakan Meta diambil dengan cara ini (TechCrunch). Agen mengeksekusi perubahan keadaan yang tidak dapat diubah dalam hitungan detik tanpa ada manusia dalam lingkaran dan tidak ada jendela reversibilitas. Keputusan terpisah dari eksekusi. Agen hanya mengusulkan tindakan. Layanan kebijakan memvalidasi cakupan dan persetujuan sebelum dijalankan, dengan persetujuan terikat pada tindakan yang tepat (OWASP). Tidak ada penulisan status autentikasi yang dilakukan tanpa gerbang tersebut dan jendela reversibilitas. Pemilik: rekayasa platform dan tim pembuat AI. Pencatatan tindakan agenKesenjangan deteksi. Pengambilalihan tersebut tidak menimbulkan peringatan, dan Meta belum mempublikasikan berapa banyak akun yang jatuh sebelum patch (TechCrunch). Tanpa telemetri per tindakan yang disalurkan ke SIEM, pengambilalihan agen resmi tidak terlihat oleh SOC. Keluarkan metadata keputusan terstruktur untuk setiap penulisan status autentikasi ke dalam SIEM: kelas tindakan, hasil otorisasi, ID persetujuan, hasil, versi kebijakan (OWASP). Tulisan yang tidak dapat dilihat oleh SIEM Anda adalah tulisan yang tidak dapat Anda pertahankan. Pemilik: SOC dan teknik pendeteksian. Perbaikannya adalah dengan tidak memasukkan prompt MFA lainnya ke layar login. Orang-orang yang selamat dari insiden Meta adalah orang-orang yang sudah memiliki kendali tersebut. Cara mengatasinya adalah dengan mencabut otorisasi dari sistem kehormatan jalur pemulihan dan meletakkannya di balik gerbang yang tidak bergerak hanya karena perintahnya terdengar meyakinkan. Bangun agen sehingga SOC melihat setiap penulisan yang dibuatnya, dan penulisan apa pun yang mengubah pemilik akun tidak dapat dilakukan tanpa pemeriksaan yang tidak dikontrol oleh model. Meta hanya menunjukkan apa yang terjadi ketika karyawan yang paling dipercaya dalam tim juga merupakan orang yang memegang kunci. Agen berikutnya seperti itu sudah membaca kekayaan intelektual dan keuangan Anda.
Diterbitkan : 2026-06-05 16:42:00
sumber : venturebeat.com
