DE
FR
Abonnieren

«Dümmste Sicherheitslücke»
Hacker kapern reihenweise Instagram-Konten mit einem Satz

Wer den KI-Bot freundlich darum bat, erhielt Zugriff auf fremde Instagram-Konten. Hacker kaperten so wertvolle Nutzernamen und sogar ein altes Profil des Weissen Hauses. Meta hat die Lücke inzwischen geschlossen.
Publiziert: 16:16 Uhr
|
Aktualisiert: 16:25 Uhr
Kommentieren
1/5
Über Metas neuen KI-Support liessen sich fremde Instagram-Konten kapern.
Foto: AFP

Darum gehts

KI-generiert, redaktionell geprüft
  • Metas KI-Chatbot verknüpfte fremde Konten auf simple Anfrage mit neuer Mail
  • Betroffen waren Obamas Weisses Haus, US Space Force und Konzern Sephora
  • Nicht einmal die Zwei-Faktor-Anmeldung schützte vor der Sicherheitslücke
Tobias_Bolzern_Redaktor Digital_Blick_3-Bearbeitet.jpg
Tobias BolzernRedaktor Digital

Ein einziger Satz genügte. Hacker schrieben Metas KI-Support-Chatbot an und baten ihn, eine neue E-Mail-Adresse mit einem fremden Instagram-Konto zu verknüpfen. Der Bot schickte den Bestätigungscode brav an genau diese Adresse. Damit setzten die Angreifer das Passwort zurück und sperrten den echten Besitzer aus. Das Tech-Portal «404 Media» berichtete zuerst darüber.

In den vergangenen Tagen kursierten Anleitungen und Videos in Telegram-Gruppen, wie der Hack genau funktioniert. Kurz darauf kaperten Hacker bekannte Profile: Das Konto des Weissen Hauses aus Obamas Amtszeit, jenes des ranghöchsten Unteroffiziers der US Space Force und den Account der Kosmetikkette Sephora wurden laut «404 Media» mit der Methode gekapert. Auf dem Obama-Profil erschien danach ein Beitrag mit pro-iranischer Botschaft. Begehrt bei den Hackern waren auch kurze Nutzernamen, etwa der Buchstabe «h». Auf dem Schwarzmarkt sind solche Namen Hunderttausende Dollar wert.

Externe Inhalte
Möchtest du diesen und weitere externe Beiträge (z.B. Instagram, X und anderen Plattformen) sehen? Wenn du zustimmst, können Cookies gesetzt und Daten an externe Anbieter übermittelt werden. Dies ermöglicht die Anzeige externer Inhalte sowie von personalisierter Werbung. Deine Entscheidung gilt für die gesamte App und ist jederzeit in den Einstellungen widerrufbar.

Standort ausgetrickst

Damit der Trick funktionierte, brauchten die Angreifer nur den passenden Standort. Metas Bot prüft, ob eine Anfrage aus der gewohnten Region des Kontos kommt. Mit einem VPN-Dienst täuschten die Hacker den Ort vor. Der IT-Sicherheitsforscher Siddharth Sundharam nennt es in seinem Blog die dümmste Sicherheitslücke, die er je gesehen habe. Denn der Passwortreset ging ganz ohne Identitätsnachweis: Niemand prüfte, ob die neue Mail je zum Konto gehörte. Selbst die Zwei-Faktor-Anmeldung half nicht. Metas KI-Bot behandelte die Anfrage wie einen kompletten Neustart durch den echten Besitzer.

Mehr zu Meta
Whatsapp: Was sollen diese purpurnen Punkte?
Messenger rüstet auf
Was sollen diese purpurnen Punkte bei Whatsapp?
Whatsapp entfernt einst beliebte Funktion nach vier Jahren
Aus für Avatare
Whatsapp entfernt einst beliebte Funktion nach vier Jahren
Deinen Whatsapp-Status sehen jetzt auch Fremde
So schaltest du es ab
Deinen Whatsapp-Status sehen jetzt auch Fremde
Big Tech loswerden? Halb geschafft, halb gescheitert
Selbstversuch
Google, Meta, Instagram, Apple
Ich wollte Big Tech loswerden – und habs nur halb geschafft

Das Perfide: Der echte Besitzer bekam keine Warnung. Keine Mail, keine SMS, kein Push. Er merkt den Angriff erst, wenn er ausgesperrt ist – und findet niemanden, an den er sich wenden kann. Eine Mitschuld für die gravierende Lücke könnte der Sparkurs tragen. Metas Vertrauens- und Sicherheitsteam bei Instagram sei zuletzt «komplett ausgehöhlt» worden, so Tech-Autor Gergely Orosz auf X.

Externe Inhalte
Möchtest du diesen und weitere externe Beiträge (z.B. Instagram, X und anderen Plattformen) sehen? Wenn du zustimmst, können Cookies gesetzt und Daten an externe Anbieter übermittelt werden. Dies ermöglicht die Anzeige externer Inhalte sowie von personalisierter Werbung. Deine Entscheidung gilt für die gesamte App und ist jederzeit in den Einstellungen widerrufbar.

Wie ohnmächtig Opfer dastehen, schildert ein Betroffener auf X. Sein Konto @korn ist über Nacht geklaut und dann gesperrt worden, obwohl es über Meta Verified und einen Gesichts-Scan abgesichert war. Sechs Stunden habe er versucht, echte Hilfe zu bekommen. Metas Support-KI habe ihm lediglich vier kaputte Links geschickt. «Eine KI hat mein Konto gestohlen, eine andere KI kann es nicht reparieren – nirgends ein Mensch», schreibt er dazu.

Externe Inhalte
Möchtest du diesen und weitere externe Beiträge (z.B. Instagram, X und anderen Plattformen) sehen? Wenn du zustimmst, können Cookies gesetzt und Daten an externe Anbieter übermittelt werden. Dies ermöglicht die Anzeige externer Inhalte sowie von personalisierter Werbung. Deine Entscheidung gilt für die gesamte App und ist jederzeit in den Einstellungen widerrufbar.

Konten gesichert

Mittlerweile ist die Sicherheitslücke gestopft. Man sichere zurzeit die betroffenen Konten ab, schrieb Kommunikationschef Andy Stone am 1. Juni auf X. Wie viele Profile die Angreifer kaperten, verriet der Konzern nicht. «KI-Chatbots schaffen eine interessante neue Angriffsfläche. Wir werden wohl noch viele solcher Attacken sehen», erklärt IT-Sicherheitsforscher Ian Goldin gegenüber krebsonsecurity.com.

Was sagst du dazu?
Heiss diskutiert
    Meistgelesen
      Meistgelesen