Instagram-Hack: KI-Chatbot gab Hacker Zugriff auf Regierungskonten

Hacker konnten durch Manipulation eines KI-Chatbots die Kontrolle über Instagram-Profile übernehmen – darunter auch Regierungsaccounts.

Die Sicherheitslücke im Meta AI Support Assistant wurde bereits seit Februar ausgenutzt. Angreifer nutzten sogenannte Prompt-Injection-Techniken, um den Chatbot zur Freigabe von Kontozugriffen zu bewegen. Dabei verschleierten sie ihren Standort per VPN und forderten den Bot auf, hinterlegte E-Mail-Adressen zu ändern oder Passwort-Reset-Links an neue Adressen zu senden.

Allein in Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt – oft durch Sicherheitslücken wie bei Meta. Dieser kostenlose Report zeigt, wie Sie Ihre Accounts durch moderne Passkeys vor Hackerangriffen und Datenklau schützen können. Warum immer mehr Deutsche ihre Passwörter jetzt komplett abschaffen

Prominente Profile und Regierungsstellen betroffen

Zu den Opfern zählte das seit 2017 inaktive Instagram-Konto des Weißen Hauses unter der Obama-Administration. Nach der Übernahme wurden dort pro-iranische Botschaften veröffentlicht. Auch das Profil des Chief Master Sergeant der US Space Force, John Bentivegna, sowie die Sicherheitsforscherin Jane Wong und das Unternehmen Sephora waren betroffen.

Besonders im Fokus standen Premium-Konten mit kurzen Benutzernamen wie „@hey“ oder „@jowo“. Diese Profile haben auf dem Graumarkt einen geschätzten Gesamtwert von über einer Million US-Dollar. Die gestohlenen Zugänge wurden anschließend über Telegram zum Verkauf angeboten.

Logikfehler in der KI-Programmierung

Sicherheitsexperten zufolge handelte es sich nicht um einen Einbruch in Metas Backend-Server. Vielmehr lag ein fundamentaler Logikfehler in der Berechtigungsstruktur der KI vor. Der erst im Frühjahr eingeführte Support-Assistent durfte Passwörter zurücksetzen – ohne ausreichende Identitätsprüfung oder wirksames Rate-Limiting.

Uneinigkeit herrscht über die Wirksamkeit der Zwei-Faktor-Authentisierung. Während einige Analysen darauf hindeuten, dass 2FA via SMS schützen konnte, berichteten andere Quellen von übernommenen Konten trotz aktivierter Sicherheitsvorkehrungen.

Der Verkauf gestohlener Profildaten über Messenger-Dienste verdeutlicht die Risiken unzureichender Privatsphäre-Einstellungen. Wie Sie sicher und anonym mit Ihren Liebsten chatten, ohne neugierige Mitleser fürchten zu müssen, erfahren Sie in diesem kostenlosen Ratgeber. In 5 Minuten zur sicheren Messenger-Alternative wechseln

Meta bestätigt Fehlerbehebung

Meta-Sprecher Andy Stone bestätigte die Behebung des Fehlers. Der Patch wurde am vergangenen Wochenende vollständig implementiert. Die betroffenen Konten seien inzwischen gesichert, so das Unternehmen.

Der Support-Assistent wurde erst im März offiziell gestartet. Schätzungen gehen von mehreren tausend kompromittierten Konten weltweit aus. Betroffene Nutzer berichteten von erheblichen Schwierigkeiten, ihren Zugriff über die regulären Support-Kanäle wiederherzustellen.

de | wissenschaft | 69468214 |