HackerangriffeSchwachstellenKI-Sicherheit

Meta-KI-Bot als Sicherheitslücke: Hacker kaperten hochwertige Instagram-Accounts

Von CyberDeutsch Redaktion
Meta-KI-Bot als Sicherheitslücke: Hacker kaperten hochwertige Instagram-Accounts
Zusammenfassung

Ein kritisches Sicherheitsloch in Metas KI-Kundenservice-Bot hat es Hackern ermöglicht, hochwertige Instagram-Konten zu übernehmen, darunter offizielle Accounts des Obama White House und des US Space Force. Die Angreifer nutzten eine simple Schwachstelle: Sie aktivierten einen VPN-Zugang aus der Nähe der Zielregion, forderten einen Passwort-Reset an und überzeugten den KI-Support-Assistenten, eine neue E-Mail-Adresse mit dem Konto zu verknüpfen. Dies ermöglichte ihnen, die Konten zu kapern und sie mit pro-iranischen Inhalten zu verunstalten. Das Incident verdeutlicht ein wachsendes Sicherheitsrisiko: KI-Chatbots für sensitive Account-Recovery-Prozesse sind genauso anfällig für Social Engineering wie menschliche Support-Mitarbeiter. Für deutsche Nutzer und Unternehmen ist dies besorgniserregend, da ähnliche KI-Systeme auch bei deutschen Plattformen und Services eingesetzt werden könnten. Experten warnen, dass mit der zunehmenden Automatisierung von Account-Wiederherstellungsprozessen neue Angriffsflächen entstehen. Die wichtigste Schutzmaßnahme bleibt die Aktivierung starker Multi-Faktor-Authentifizierung – die Attacke scheiterte an allen Konten mit aktivierter MFA, insbesondere bei Sicherheitsschlüsseln oder SMS-Codes.

Der Sicherheitsvorfall offenbarte eine überraschend einfache Schwachstelle: Angreifer nutzten eine VPN-Verbindung mit einer IP-Adresse aus der geografischen Nähe des Zielaccounts, initiierten einen Passwort-Reset und wählten dann die Option, mit Metas KI-Supportbot zu chatten. Das System genehmigte daraufhin die Änderung der mit dem Account verknüpften Emailadresse – ein Standard-Workflow für legitime Accountwiederherstellung. Der Bot schickte anschließend einen One-Time-Code an die neue Emailadresse des Angreifers, wodurch ein vollständiger Accountübernahme möglich wurde.

Meta bestätigte später, das Problem behoben zu haben und deployte über das Wochenende ein Emergency-Patch. Nach Angaben von Meta-Sprecher Andy Stone wurde kein Back-End-Datensystem kompromittiert. Dennoch dokumentierte ein Video auf Telegram, das von iranisch-freundlichen Hacker-Gruppen verbreitet wurde, wie wertvoll die exploitierte Lücke war: Sie ermöglichte die Übernahme zahlreicher kurzweiliger, hochbegehrter Instagram-Handles mit vermeintlichem Wiederverkaufswert von über einer halben Million Dollar.

Das Incident wirft grundsätzliche Fragen zur KI-gestützten Account-Sicherheit auf. Ian Goldin, Threat-Researcher bei Lumens Black Lotus Labs, warnt vor neuer Angriffsfläche: “KI-Chatbots sind ebenso anfällig für Social Engineering wie menschliche Support-Mitarbeiter.” Während Instagram unter Druck steht – das Unternehmen hatte bereits für schlechte menschliche Support-Strukturen kritisiert – wurde die KI-Lösung eingeführt, um Reibung bei Account-Wiederherstellungen zu reduzieren. Doch die Automation schuf unerwartete Risiken.

Eine kritische Erkenntnis: Das Exploit scheiterte vollständig bei Accounts mit aktivierter Multi-Faktor-Authentifizierung. Selbst die einfachste MFA-Variante – SMS-basierte One-Time-Codes – hätte den Angriff blockiert. Sicherheitsexperten empfehlen daher dringend, mindestens SMS-basierte 2FA zu nutzen, idealerweise aber robustere Methoden wie Security Keys oder Passkeys. Der Vorfall unterstreicht ein wachsendes Sicherheitsparadoxon: Während Unternehmen KI einsetzen, um Nutzererlebnisse zu verbessern, entstehen dabei neue Verwundbarkeiten, die traditionelle Sicherheitsmechanismen erfordern.

Ähnliche Artikel