Instagram-Sicherheit: Metas KI-Chatbot ermöglichte Kontoübernahmen

Eine kritische Sicherheitslücke in Metas KI-gestütztem Support-Chatbot hat Angreifern die Kontrolle über zahlreiche Instagram-Profile ermöglicht.

Betroffen waren unter anderem prominente Konten wie das des Weißen Hauses aus der Obama-Ära, das Profil des US-Space-Force-Offiziers John F. Bentivegna sowie der offizielle Account des Kosmetikunternehmens Sephora.

Der Missbrauch von Support-Systemen zeigt, wie verwundbar unsere digitalen Identitäten sind, wenn klassische Passwörter versagen. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Diensten wie Amazon oder WhatsApp effektiv vor Hacker-Zugriffen schützen. Passkey-Ratgeber jetzt kostenlos herunterladen

So funktionierte der Angriff

Die Angreifer nutzten das sogenannte „Confused Deputy"-Problem aus. Dabei brachten sie den KI-Assistenten durch gezielte Prompt-Injections dazu, Sicherheitsmechanismen zu umgehen.

Zunächst täuschten die Hacker mittels eines VPN einen bestimmten Standort vor. Im Chatverlauf forderten sie den Bot dann auf, das jeweilige Instagram-Konto mit einer neuen E-Mail-Adresse zu verknüpfen.

Der Chatbot kam dieser Aufforderung in vielen Fällen nach. Er versendete Verifizierungscodes oder Passwort-Reset-Links direkt an die von den Angreifern bereitgestellten E-Mail-Adressen. Damit missbrauchten sie den regulären Prozess zur Kontowiederherstellung, um die rechtmäßigen Besitzer auszuschließen.

Der Exploit war Berichten zufolge bereits seit Februar oder März aktiv.

Propaganda und Profit

In einigen Fällen nutzten die Hacker die gekaperten Konten, um pro-iranische Propaganda zu verbreiten. Besonders begehrte, kurze Nutzernamen standen im Visier der Angreifer.

Solche Kurz-Handles wie @hey oder @jowo besitzen auf dem Graumarkt einen kombinierten Wert von über einer Million Euro. Teile davon wurden in einschlägigen Foren im Dark Web zum Verkauf angeboten.

Die Sicherheitsforscherin Jane Wong gehörte ebenfalls zu den Betroffenen. Während die Zwei-Faktor-Authentifizierung (2FA) in einigen Fällen als Schutzbarriere fungierte, konnte die KI-Schnittstelle diese Sicherheitsmaßnahme teilweise umgehen.

Allein in Deutschland werden pro Quartal Millionen Online-Konten gehackt, oft weil Sicherheitslücken in automatisierten Prozessen ausgenutzt werden. Dieser Gratis-Ratgeber erklärt Ihnen die sichere Alternative zu Passwörtern, die Hackern keine Chance mehr lässt und Ihren Login-Stress beendet. Kostenlosen Report zur sicheren Anmeldung anfordern

Meta reagiert mit Notfall-Update

Meta hat auf die Entdeckung der Sicherheitslücke reagiert und das Problem Ende Mai durch ein Notfall-Update behoben. Konzernsprecher Andy Stone bestätigte, dass die Schwachstelle geschlossen wurde und die betroffenen Konten gesichert seien.

Das Unternehmen identifizierte den Fehler in der Logik des KI-Support-Systems, der die unberechtigten E-Mail-Änderungen ermöglicht hatte.

Trotz der Behebung dieser spezifischen Lücke kursieren Hinweise auf weitere potenzielle Schwachstellen in den Wiederherstellungsabläufen von Facebook-Konten. Experten raten Nutzern weiterhin zur Aktivierung aller verfügbaren Sicherheitsfunktionen – auch wenn automatisierte Systeme in diesem Fall eine unvorhergesehene Angriffsfläche boten.

de | wissenschaft | 69472298 |