Meta-Sicherheitsleck: KI-Chatbot gab 20.225 Instagram-Konten frei
10.06.2026 - 13:06:55 | boerse-global.de
Eine Sicherheitslücke in Metas KI-gestütztem Kundenservice hat schwerwiegende Folgen: Unbefugte konnten die Kontrolle über mehr als 20.000 Instagram-Konten übernehmen – darunter prominente Opfer.
Der Konzern räumte Anfang der Woche ein, dass Angreifer eine Schwachstelle im sogenannten High-Touch-Support-Tool (HTS) über einen Zeitraum von rund sieben Wochen ausgenutzt hatten. Der Fehler lag in einem KI-Chatbot, der eigentlich bei der Account-Wiederherstellung helfen sollte.
Der aktuelle Instagram-Hack zeigt, wie schnell Online-Konten ohne modernen Schutz übernommen werden können. Dieser kostenlose Report erklärt, wie Sie mit Passkeys eine sichere Alternative zu Passwörtern einrichten und Hacker bei Amazon, WhatsApp und Co. chancenlos lassen. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Wie die Angreifer vorgingen
Das System erlaubte es, Passwort-Reset-Links an nicht verifizierte E-Mail-Adressen zu senden – ohne die Identität des Antragstellers ordnungsgemäß zu prüfen. Die Sicherheitslücke war vom 17. April bis zum 31. Mai 2026 aktiv. Die Täter nutzten VPNs, um die geografischen Standorte ihrer Opfer vorzutäuschen, und manipulierten den Chatbot so, dass er Zugriff gewährte.
Sicherheitsexperten sprechen von einem Autoritätsversagen des Systems: Der Bot habe im Grunde die Schlüssel zu sensiblen Konten ausgehändigt. Besonders betroffen waren Nutzer, die keine Zwei-Faktor-Authentifizierung (2FA) aktiviert hatten. Meta zufolge handelte es sich primär um einen Logikfehler in der Verarbeitung von Zurücksetzungsanfragen – nicht um eine sogenannte Prompt-Injection, wie zunächst vermutet.
Prominente Opfer und geografische Streuung
Die Angreifer hatten es auf hochkarätige Ziele abgesehen. Unter den kompromittierten Accounts befanden sich der Instagram-Auftritt des Obama-White-House, die Handelskette Sephora sowie der persönliche Account von John Bentivegna, dem Chief Master Sergeant der US Space Force.
In einer Meldung an die Generalstaatsanwaltschaft von Maine bestätigte Meta die Zahl von 20.225 betroffenen Nutzern – 30 davon haben ihren Wohnsitz in Maine. Der Konzern hat das HTS-Tool inzwischen abgeschaltet und für alle identifizierten Konten ein erzwungenes Passwort-Reset durchgeführt.
In Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt – oft, weil herkömmliche Passwörter kein Hindernis mehr darstellen. Erfahren Sie in diesem Gratis-Leitfaden, wie Sie sich durch passwortlose Anmeldung effektiv vor Datenklau und Phishing schützen. Hier Gratis-Report für maximale Konten-Sicherheit sichern
Parallel dazu gab es einen zweiten, zeitlich begrenzten Vorfall: Ein Logikfehler im Instagram-Passwort-Wiederherstellungsprozess legte kurzzeitig die ungeschützten Telefonnummern und E-Mail-Adressen prominenter Nutzer offen – darunter Mark Zuckerberg und Fußballstar Kylian Mbappé. Meta behob diesen Fehler innerhalb weniger Stunden.
Reaktionen und rechtliche Konsequenzen
Seit der Entdeckung des HTS-Exploits am 31. Mai hat Meta die betroffenen Accounts in einen Sicherheits-Review-Status versetzt. Das Unternehmen fordert alle Nutzer auf, 2FA zu aktivieren und ihre aktuellen Login-Aktivitäten zu überprüfen.
Der Vorfall hat bereits rechtliche Wellen geschlagen. Mehrere Anwaltskanzleien haben Sammelklagen angekündigt. Kritiker bemängeln, dass Meta den betroffenen Nutzern keinen Identitätsschutz angeboten habe.
Die Sicherheitspanne kommt zu einem ungünstigen Zeitpunkt für den Technologieriesen. Erst kürzlich kündigte Meta eine Investition von umgerechnet rund 107 Millionen Euro in eine Ausbildungseinrichtung für den Bau von Rechenzentren an. Gleichzeitig sieht sich das Unternehmen einer Zivilklage des thailändischen Verbraucherrats ausgesetzt, der rund sechs Millionen Euro Schadensersatz für Opfer von Online-Investmentbetrug auf Metas Plattformen fordert.
