Peinliche Lücke: Hacker bringen Meta-KI dazu, fremde Instagram-Accounts herauszugeben

Einfacher geht’s kaum: Hacker:innen haben den KI-gestützten Support-Chatbot von Meta genutzt, um sich Zugang zu Profilen auf der Plattform Instagram zu verschaffen, berichtet das Online-Medium 404. Betroffen von dem Angriff waren unter anderem das White-House-Profil von Barack Obama und ein Account eines ranghohen Offiziers der US Space Force. Auch ganz normale Nutzer:innen waren von Account-Übernahmen betroffen.

Meta hat die Sicherheitslücke mittlerweile bestätigt und nach eigenen Angaben behoben. Es ist nicht bekannt, wie viele Accounts mit dieser Methode übernommen wurden.

In einem Video, das in sozialen Medien kursierte, wird klar, wie simpel der Angriff funktionierte. Der Angreifer täuschte mit einem VPN vor, aus der Region des Ziel-Accounts zu stammen und nutzte dann die „Passwort vergessen“-Funktion. Danach gab er dem Meta-Chatbot eine neue Mailadresse für den fremden Account und forderte den Bot auf, mit dieser zu kommunizieren. An diese Adresse schickte Meta dann fahrlässigerweise einen Verifikationscode, mit dem der Angreifer den anvisierten Instagram-Account übernehmen konnte.

Zu keinem Zeitpunkt musste der Angreifer Zugriff auf die echte Mailadresse des Accounts haben. Die Nutzung der originalen Mailadresse soll grundlegend vor Accountübernahmen schützen, da sich Angreifer in der Regel Zugriff auf diese Adressen verschaffen müssen. Hilfreich gegen Account-Übernahmen ist auch die Aktivierung einer weiter gehenden 2‑Faktor-Authentifizierung.

Der Vorfall zeigt einmal mehr, dass so genannte Künstliche Intelligenz nicht nur Sicherheitslücken entdecken, sondern selbst grobe Sicherheitslücken eröffnen kann. Meta hatte den „KI Support Assistenten“ weltweit am Anfang dieses Jahres für Facebook und Instagram eingeführt.