Instagram-Hacks: Metas KI-Chatbot ermöglichte Kontokaperun

Betroffen waren unter anderem der offizielle Account des Weißen Hauses aus der Obama-Ära, der US-Weltraumkommandeur John Bentivegna sowie die Kosmetikkette Sephora. Meta-Sprecher Andy Stone bestätigte am 1. Juni, dass die Sicherheitslücke geschlossen sei. Das Unternehmen arbeite daran, die betroffenen Konten wiederherzustellen.

Der aktuelle Fall zeigt, wie verwundbar Online-Konten selbst bei großen Plattformen sind – allein in Deutschland werden pro Quartal rund 4,7 Millionen Accounts gehackt. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, Microsoft oder WhatsApp einrichten und sich so effektiv vor Hacker-Angriffen schützen. Kostenlosen Passkey-Ratgeber jetzt herunterladen

KI-Support als Einfallstor für Hacker

Die Angreifer nutzten eine sogenannte „Confused Deputy"-Attacke. Dabei manipulierten sie den automatisierten Support-Chatbot, um Aktionen in ihrem Sinne auszuführen. Konkret täuschten die Hacker über VPNs ihren Standort, sodass es aussah, als griffen sie aus vertrauten Regionen auf die Accounts zu.

Anschließend forderten sie den Chatbot auf, eine neue E-Mail-Adresse mit dem Zielkonto zu verknüpfen. Der KI-Assistent führte die Änderung durch – ohne Rückfrage beim ursprünglichen Kontoinhaber. Die Hacker erhielten daraufhin einen achtstelligen Bestätigungscode an ihre eigene E-Mail und konnten so das Passwort zurücksetzen. Die legitimen Nutzer wurden ausgesperrt.

In einigen Fällen setzten die Angreifer sogar KI-generierte Selfies ein, um die Identitätsprüfung zu umgehen. Die Sicherheitslücke machte damit auch die mehrstufige Authentifizierung (MFA/2FA) wirkungslos.

Seltene Usernamen im Visier

Besonders begehrt waren sogenannte „OG"-Handles – kurze, seltene Benutzernamen aus nur einem Buchstaben oder einem Wort. Accounts wie @hey und @jowo, deren Marktwert auf über eine Million Euro geschätzt wird, wurden gekapert. Auch die Profile @korn, @e, @f und @albert waren betroffen.

Die Sicherheitsforscherin Jane Manchun Wong zählte ebenfalls zu den Opfern. Einige der gehackten Konten, darunter das des US-Weltraumkommandos, wurden genutzt, um propalästinensische Propaganda zu verbreiten, bevor Meta die Accounts sichern konnte.

Herkömmliche Passwörter stellen oft das größte Risiko für die Sicherheit Ihrer digitalen Identität dar. Diese neue Technologie ermöglicht Ihnen eine Anmeldung per Fingerabdruck oder Gesichtserkennung, die Hackern keine Chance mehr lässt und Passwort-Stress für immer beendet. Hier die sichere Alternative zu Passwörtern gratis entdecken

Personalkürzungen schwächten Sicherheit

Die Sicherheitslücke soll bereits seit Februar oder März 2026 bestanden haben. In speziellen Telegram-Gruppen wurde der Exploit offen diskutiert, bevor Meta ihn am 29. Mai schloss. Der Vorfall fällt mit tiefgreifenden Umstrukturierungen bei Meta zusammen. In der Woche vom 20. Mai baute der Konzern zehn Prozent seiner Belegschaft ab – Berichten zufolge traf es auch die Sicherheitsteams von Instagram.

Parallel dazu verlegte Meta rund 7.000 Mitarbeiter in KI-Abteilungen und ersetzte menschliche Support-Mitarbeiter zunehmend durch automatisierte Systeme. Betroffene Nutzer berichteten, dass die Wiederherstellung ihrer Konten ohne menschliche Ansprechpartner extrem schwierig gewesen sei. Ein Account-Inhaber gab an, sechs Stunden lang versucht zu haben, einen menschlichen Mitarbeiter zu erreichen – während der automatisierte Chatbot die einzige Anlaufstelle blieb.

Meta hat nach eigenen Angaben die konkrete Sicherheitslücke geschlossen. Der Exploit über den KI-Chatbot sei nicht länger möglich. Das Unternehmen arbeitet weiterhin mit den betroffenen Nutzern zusammen, um den Zugriff auf ihre Konten vollständig wiederherzustellen.

de | wissenschaft | 69475991 |