AI Jadi Senjata: Peretas Jebol 20.000 Akun Instagram Tanpa Retas Sistem
Lebih dari 20.000 akun Instagram diretas — bukan karena infrastruktur Meta bobol, tapi karena sistem AI pemulihan akunnya gagal verifikasi kepemilikan email. Ini bukan serangan teknis, tapi kegagalan desain kepercayaan di era AI.
Security
AI Jadi Senjata: Peretas Jebol 20.000 Akun Instagram Tanpa Retas Sistem
Mereka tidak meretas server Meta. Tidak bobol enkripsi. Tidak pakai zero-day. Yang mereka lakukan? Hanya mengetik perintah sederhana ke chatbot AI — dan dalam hitungan detik, 20.000 akun Instagram jatuh ke tangan mereka.
Ini bukan sci-fi. Ini kejadian nyata. Dan yang lebih mengejutkan: Meta sendiri yang membuka pintunya.
Bukan Retas, Tapi Rebutan Identitas
Meta baru-baru ini mengonfirmasi insiden keamanan yang mengguncang: lebih dari 20.000 akun Instagram direbut alih oleh peretas. Tapi bukan karena infrastruktur mereka dibobol. Tidak ada peretasan database, tidak ada pencurian token, tidak ada eksploitasi kerentanan kriptografi.
Yang terjadi justru lebih halus — dan lebih berbahaya: peretas memanfaatkan celah dalam sistem pemulihan akun berbasis AI yang dibangun oleh Meta sendiri.
Sistem bernama High Touch Support (HTS) ini seharusnya mempermudah pengguna yang kehilangan akses. Tapi justru berubah menjadi jembatan emas bagi peretas untuk mengambil alih akun — tanpa perlu mengetahui password sama sekali.
Bagaimana Bisa? Karena AI Diberi Akses Operasional
Kebanyakan chatbot hanya menjawab pertanyaan. Tapi HTS bukan chatbot biasa. Ia terhubung langsung ke sistem operasional pemulihan identitas. Artinya, ia bisa:
- Mengganti email pemulihan akun
- Mengirim link reset password
- Memverifikasi identitas pengguna
Saat AI punya kemampuan seperti itu, ia bukan lagi alat bantu — ia jadi komponen inti dari infrastruktur keamanan.
Dan di situlah masalahnya.
Celah Sederhana, Dampak Luar Biasa
Menurut analisis dari ExploitOne, akar masalahnya bukan pada prompt injection atau permainan bahasa. Ini kegagalan validasi otorisasi — klasik, tapi fatal.
Biasanya, sistem pemulihan akan memverifikasi: apakah email yang diminta untuk reset benar-benar milik akun tersebut?
Tapi HTS gagal melakukan pengecekan itu.
Artinya, siapa pun bisa:
- Pilih akun korban (misalnya @whitehouse)
- Masukkan email milik peretas (attacker@evil.com)
- Sistem kirim link reset ke email itu
- Peretas reset password → akun jadi milik mereka
Tidak ada peretasan. Hanya salah desain kepercayaan.
Korban Nyata, Bukan Teori
Akun yang diretas bukan akun biasa. Di antaranya:
- Akun Instagram Gedung Putih
- Akun pribadi Jenderal U.S. Space Force
- Akun peneliti keamanan Jane Wong
- Brand besar seperti Sephora
- Ratusan akun “OG” bernilai tinggi di pasar gelap
Total: 20.225 akun terdampak sebelum Meta mematikan fitur tersebut.
Ini Bukan Kesalahan AI — Ini Kesalahan Manusia
Banyak yang bilang AI-nya “ditipu”. Itu narasi yang keliru.
AI tidak punya niat. Ia hanya menjalankan logika yang diberikan. Yang salah adalah manusia yang membiarkan sistem otorisasi identitas dikendalikan oleh AI tanpa pengawasan manusia dan validasi ketat.
Ini bukan insiden keamanan biasa. Ini adalah peringatan keras bahwa saat kita menghubungkan AI ke sistem yang mengatur identitas, akses, dan kontrol, satu kesalahan kecil bisa berubah jadi bencana skala besar.
Apa yang Harus Dipelajari?
- Jangan beri AI akses operasional ke sistem kritis tanpa guardrail.
- Validasi otorisasi harus selalu dilakukan — tidak boleh dilewati, apalagi oleh AI.
- Sistem pemulihan akun harus tetap mengandalkan faktor kepercayaan lama: email lama, perangkat terdaftar, atau verifikasi manual.
AI bisa jadi senjata — bukan karena ia cerdas, tapi karena kita terlalu percaya.
