Instagram-Sicherheitslücke: Hacker übernahmen Konten via KI-Chatbot

Angreifer nutzten einen Chatbot aus, um die Kontrolle über zahlreiche Accounts zu übernehmen – besonders betroffen: seltene Nutzernamen.

So funktionierte der Angriff

Die Hacker zielten auf ein KI-Tool ab, das Nutzern seit dem Frühjahr bei der Kontowiederherstellung hilft. Mit einfachen Dialogen und sogenannter Prompt Injection brachten sie den Bot dazu, hinterlegte E-Mail-Adressen zu ändern. Ohne ausreichende Identitätsprüfung passte die KI die Daten an – die Angreifer konnten per Passwort-Reset die volle Kontrolle übernehmen.

Hacker nutzen immer raffiniertere Methoden, um an sensible Account-Daten zu gelangen. Wie Sie Ihr Android-Smartphone mit fünf einfachen Schritten effektiv vor solchen Übergriffen schützen, erfahren Sie in diesem kostenlosen Ratgeber. Jetzt GRATIS-Sicherheitspaket für Ihr Smartphone sichern

Sicherheitsforscher beobachten die Angriffswelle seit Ende Mai. Die Täter setzten VPN-Software ein, um geografische Barrieren zu umgehen. Das Kernproblem: Der Chatbot hatte weitreichende Systemberechtigungen, ohne dass menschliche Kontrollen zwischengeschaltet waren. Branchenexperten sprechen von einem grundlegenden Architekturfehler.

Prominente Opfer – trotz 2FA

Unter den kompromittierten Konten finden sich namhafte Profile: ein inaktiver Account des Weißen Hauses aus der Obama-Ära, Accounts der US Space Force und des Kosmetikkonzerns Sephora. Meta dementierte teils den Zugriff auf spezifische prominente Konten, bestätigte aber die Sicherung betroffener Profile.

Besonders brisant: Der Fall der Sicherheitsforscherin Jane Manchun Wong, früher selbst bei Meta. Trotz aktivierter Zwei-Faktor-Authentifizierung (2FA) übernahmen Hacker ihr Konto. Auch Meta-Mitarbeiterin und Ex-Twitter-Managerin Esther Crawford war betroffen. Klar ist: Herkömmliche Sicherheitsmaßnahmen halfen gegen diese KI-Manipulation nicht.

Wenn selbst die Zwei-Faktor-Authentifizierung umgangen werden kann, benötigen Online-Konten einen moderneren Schutz. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie Passkeys einrichten und sich bei Diensten wie Amazon oder WhatsApp künftig ohne unsichere Passwörter anmelden. Kostenlosen Passkey-Ratgeber hier herunterladen

Metas Reaktion – und die anhaltenden Risiken

Meta-Sprecher Andy Stone erklärte, das Unternehmen habe betroffene Konten gesichert und arbeite an der Wiederherstellung. Seit Donnerstag verschickt Instagram Warn-E-Mails an Nutzer mit verdächtigen Aktivitäten. Die ursprüngliche Sicherheitslücke sei bereits Anfang Juni geschlossen worden.

Doch die Berichte über anhaltende Angriffe reißen nicht ab. Nutzer meldeten: Zwar wurden Oberflächenfunktionen angepasst, die zugrunde liegenden Schnittstellen blieben aber anfällig. Meta empfiehlt weiterhin starke Passwörter und 2FA – auch wenn diese im aktuellen Fall nicht immer schützten.

KI-Investitionen versus Sicherheit

Der Vorfall trifft Meta in einer Phase massiver KI-Investitionen – Schätzungen zufolge bis zu 1,45 Milliarden Dollar. Parallel zur Instagram-Krise treibt der Konzern andere Projekte voran: einen KI-Assistenten für Facebook-Autoren in Nordamerika und Indien sowie automatisierte Übersetzungen für Videos.

Experten mahnen: Die Geschwindigkeit der KI-Integration dürfe nicht zulasten der Sicherheit gehen. Der aktuelle Fall des Support-Bots zeigt, was passiert, wenn dieses Gleichgewicht kippt.

de | wissenschaft | 69485372 |