Instagram-Hack: Metas KI-Tool ermöglichte Übernahme von 20.225 Konten

Eine Sicherheitslücke in Metas KI-gestütztem Support-Tool ermöglichte die Übernahme von über 20.000 Instagram-Konten – darunter Profile von Regierungen und Großkonzernen.

Der Angriff nutzte eine Schwachstelle im sogenannten HTS-Tool, einem KI-System zur Account-Wiederherstellung. Laut einer Meldung an die Generalstaatsanwaltschaft von Maine waren genau 20.225 Nutzer betroffen. Die Angreifer machten sich einen logischen Fehler im Arbeitsablauf des KI-Chatbots zunutze: Dieser prüfte die Inhaberschaft nicht ausreichend, wenn ein Nutzer eine neue E-Mail-Adresse mit einem Konto verknüpfen wollte.

So funktionierte der Angriff

Anzeige: Der Instagram-Hack über Metas KI-Tool zeigt: Selbst 2FA schützt nicht vor manipulierten Wiederherstellungsprozessen. Erfahren Sie in diesem Report, wie Sie Ihre Accounts mit konkreten Checklisten und Frühwarnsystemen absichern. Jetzt kostenlosen Sicherheits-Report anfordern

Die Hacker überzeugten den Chatbot, eine fremde E-Mail-Adresse mit dem Zielkonto zu verbinden. Sobald die neue Adresse hinterlegt war, schickte das System einen Passwort-Reset-Link an die Hacker. Damit waren die Sicherheitsprotokolle ausgehebelt – in mehreren Fällen half nicht einmal die Zwei-Faktor-Authentifizierung.

Die Kampagne begann offenbar bereits am 17. April 2026, entdeckt wurde sie jedoch erst am 31. Mai 2026. Die schiere Dauer der unentdeckten Aktivität wirft Fragen auf: Wie konnte ein derart grundlegender Fehler so lange unerkannt bleiben?

Prominente Opfer im Visier

Unter den gekaperten Konten befanden sich einige der bekanntesten Profile der Plattform. Betroffen waren unter anderem der Account des Obama-White-House, der US Space Force und der Kosmetikkette Sephora. Auch die Sicherheitsforscherin Jane Wong wurde Ziel des Angriffs – sie berichtete, dass die Übernahme nach erfolgreicher KI-Manipulation nahezu augenblicklich erfolgte.

Ein separater technischer Fehler am 6. Juni 2026 legte zusätzlich private Kontaktdaten prominenter Nutzer offen. Die Telefonnummern und E-Mail-Adressen von Meta-CEO Mark Zuckerberg und Fußballstar Kylian Mbappé waren kurzzeitig über die Passwort-Reset-Oberfläche einsehbar. Meta betonte, dieser Vorfall sei kein Teil der koordinierten Angriffswelle gewesen.

Metas Reaktion und Konsequenzen

Das Unternehmen reagierte umgehend: Das KI-Support-Tool wurde abgeschaltet, alle während der Angriffsphase generierten Passwort-Reset-Links wurden ungültig gemacht. Die betroffenen Konten durchlaufen nun einen Sicherheitsüberprüfungsprozess, um sie den rechtmäßigen Eigentümern zurückzugeben.

Ab dem 19. Juni 2026 will Meta alle betroffenen Nutzer offiziell benachrichtigen. Gleichzeitig überprüft der Konzern sämtliche automatisierten Wiederherstellungsprozesse, um ähnliche Autorisierungsfehler künftig auszuschließen.

Anzeige: Während Meta 20.000 Konten zurückgibt, bleibt die Frage: Ist Ihr Unternehmen das nächste Ziel? Unser Report zeigt, wie Sie KI-gestützte Angriffe auf Account-Wiederherstellung erkennen und abwehren – bevor Ihre Konkurrenz die Lücke ausnutzt. Sicherheits-Report jetzt sichern

Börse reagiert mit Kursverlust

Die Nachricht schlug auch an der Börse Wellen: Metas Aktienkurs verzeichnete einen Rückgang von fünf Prozent. Branchenexperten sehen in dem Vorfall ein Lehrstück für die Risiken, wenn KI-Systeme zu weitreichende Befugnisse über sensible Sicherheitsfunktionen erhalten – ohne unabhängige Überprüfungsschritte.

Bereits zuvor hatten die Generalstaatsanwaltschaft von Kalifornien und Vertreter aus 39 weiteren US-Bundesstaaten strengere Schutzmaßnahmen für die Account-Wiederherstellungssysteme des Konzerns gefordert. Ob diese Forderungen nun schneller umgesetzt werden, bleibt abzuwarten.

de | wissenschaft | 69501455 |