Instagram-Hack: 20.000 Accounts gekapert, Zuckerbergs Daten offen

Gleich zwei schwerwiegende Sicherheitslücken haben Instagram erschüttert. Angreifer konnten Kontaktdaten prominenter Nutzer einsehen und über 20.000 Accounts kapern – darunter das offizielle Obama-White-House-Profil.

Kritischer Logikfehler legt Kontaktdaten offen

Am 6. Juni 2026 entdeckten Sicherheitsforscher einen folgenschweren Fehler im Passwort-Reset-Prozess von Instagram. Statt die üblichen teilweise verdeckten E-Mail-Adressen und Telefonnummern anzuzeigen, spuckte das System die vollständigen Kontaktdaten aus – für jeden, der eine Passwort-Zurücksetzung versuchte.

Der aktuelle Instagram-Vorfall zeigt, wie schnell Sicherheitslücken zur Gefahr für sensible Firmendaten werden können. In diesem kostenlosen E-Book erfahren Sie, wie Sie Ihr Unternehmen proaktiv vor Cyberangriffen schützen und neue gesetzliche Anforderungen erfüllen. Cyber Security Awareness Trends jetzt kostenlos herunterladen

Besonders brisant: Auch die Kontaktdaten von Meta-CEO Mark Zuckerberg waren durch diese Panne einsehbar. Meta betonte zwar, dass keine internen Systeme kompromittiert wurden. Doch Cybersicherheitsexperten schlagen Alarm: Die offengelegten Daten machen betroffene Nutzer zu leichten Zielen für Phishing-Angriffe und SIM-Swapping.

Screenshots des Fehlers kursierten bereits in sozialen Netzwerken, bevor Meta am 7. Juni einen Notfall-Patch ausrollte. Eine offizielle CVE-Kennung für die Schwachstelle gibt es bislang nicht.

KI-Chatbot als Einfallstor für Massen-Hacks

Noch gravierender ist ein zweiter Vorfall: Über 20.000 Instagram-Konten wurden gekapert – ausgerechnet durch eine Schwachstelle in der KI-gestützten Account-Wiederherstellung. Der Exploit war bereits im April 2026 aktiv, blieb aber bis Juni unentdeckt.

Die Angreifer manipulierten den KI-Chatbot geschickt. Sie brachten ihn dazu, Passwort-Reset-Links an fremde E-Mail-Adressen zu senden. In einigen Fällen gelang es Hackern sogar, die hinterlegte E-Mail-Adresse komplett zu ändern – indem sie Standorte vortäuschten und Bestätigungscodes verwendeten, die die KI selbst generiert hatte.

Besonders verwundbar: Accounts ohne aktivierte Zwei-Faktor-Authentifizierung (2FA). Zu den prominenten Opfern zählte das offizielle Obama-White-House-Profil, das kurzzeitig mit pro-iranischen Inhalten verunstaltet wurde. Auch der Account der Kosmetikkette Sephora geriet ins Visier der Angreifer.

Solche Sicherheitslücken ziehen oft langwierige Prüfprozesse nach sich, bei denen eine rechtssichere Dokumentation über den Schutz der Daten entscheidend ist. Mit dieser kostenlosen Muster-Vorlage erstellen Sie Ihr DSGVO-Verarbeitungsverzeichnis zeitsparend und vermeiden kostspielige Bußgelder. Kostenlose Excel-Vorlage für Verarbeitungsverzeichnis sichern

Meta reagiert – Datenschutz-Folgen unklar

Nach der Entdeckung der Chatbot-Lücke deaktivierte Meta den KI-Assistenten umgehend und entfernte die verwundbare Code-Struktur aus dem Wiederherstellungssystem. Das Unternehmen bestätigte, dass die fehlerhafte Logik es erlaubte, Reset-Links auf von Angreifern kontrollierte Adressen umzuleiten – ohne die üblichen Sicherheitsabfragen.

Branchenanalysten gehen davon aus, dass der Vorfall aufgrund des Ausmaßes der Account-Übernahmen und der Offenlegung persönlicher Daten als Datenschutzverletzung nach DSGVO eingestuft wird. Meta arbeitet nun daran, die KI-gestützten Support-Tools gegen künftige Prompt-Injection- und Logik-Exploits zu härten.

Die Frage bleibt: Wie sicher sind unsere Daten in Zeiten KI-gestützter Sicherheitssysteme?

de | wissenschaft | 69496152 |