Instagram-Hack, Metas

Instagram-Hack: Metas KI-Chatbot ermöglichte Kaperung von 20.000 Konten

14.06.2026 - 17:07:04 | boerse-global.de

Sicherheitslücke in Metas KI-Support ermöglichte Hackern die Übernahme von über 20.000 Instagram-Profilen.

Meta deaktiviert KI-Chatbot nach Instagram-Kontoübernahmen
Instagram-Hack - A person's hands typing on a laptop keyboard, with code reflecting on their face, and a blurred Instagram logo in the background. 14.06.2026 - Bild: über boerse-global.de

Ein KI-gestützter Support-Chatbot von Meta wurde zur Sicherheitsfalle – Hacker nutzten eine Schwachstelle aus, um Instagram-Konten zu kapern.

Der Facebook-Konzern hat einen speziellen KI-Assistenten abgeschaltet, nachdem Sicherheitsforscher eine schwerwiegende Lücke entdeckten. Angreifer konnten damit die Kontrolle über mehr als 20.000 Instagram-Profile übernehmen – darunter auch extrem begehrte Kurz-Nutzernamen.

Wie die Angreifer den KI-Chatbot austricksten

Anzeige: Die KI-Chatbot-Lücke bei Instagram hat gezeigt: Selbst 2FA schützt nicht vor raffinierten Angriffen. Mit dem 3-Schritte-Plan sichern Sie Ihren Account in wenigen Minuten ab – inklusive Checkliste zur Erkennung verdächtiger Aktivitäten. 3-Schritte-Plan jetzt kostenlos anfordern

Die Schwachstelle steckte in Metas sogenanntem „High Touch Support"-System (HTS), einem KI-gesteuerten Chatbot zur Account-Wiederherstellung. Unabhängige Sicherheitsexperten entdeckten die verdächtigen Aktivitäten Ende Mai 2026. Am 8. Juni bestätigte Meta das Ausmaß des Vorfalls in einem Bericht an die US-Aufsichtsbehörden.

Die Angreifer gingen raffiniert vor: Sie nutzten VPNs, um die Standorte legitimer Kontoinhaber vorzutäuschen. Sobald der KI-Chatbot aktiviert war, manipulierten sie das System so, dass es die hinterlegten E-Mail-Adressen der Opfer austauschte. Ein fataler Fehler in der Programmlogik: Der Bot prüfte nicht, ob die neue E-Mail-Adresse tatsächlich zum jeweiligen Account gehörte. Damit konnten die Hacker problemlos Passwörter zurücksetzen und die ursprünglichen Besitzer aussperren – und das, obwohl viele Opfer eine Zwei-Faktor-Authentifizierung (2FA) aktiviert hatten. Der KI-Assistent besaß aufgrund seiner privilegierten Position die Berechtigung, diese Sicherheitsmechanismen zu umgehen.

Begehrte „OG"-Handles für Millionenbeträge

Besonders im Visier der Angreifer: sogenannte „OG"-Handles – kurze, begehrte Nutzernamen, die in sozialen Netzwerken als Prestigeobjekte gelten. Accounts wie @hey und @jowo wurden gekapert und anschließend in verschlüsselten Telegram-Kanälen gehandelt. Einige dieser Profile sollen für Summen von über einer Million Euro angeboten worden sein.

Meta reagierte umgehend: Der Konzern deaktivierte den HTS-Workflow, leitete eine umfassende Sicherheitsüberprüfung ein und schloss die Sicherheitslücke. Für alle betroffenen Nutzer wurden erzwungene Passwort-Zurücksetzungen und Sicherheitschecks durchgeführt.

KI-Infrastruktur rückt ins Visier von Hackern

Der Vorfall bei Meta reiht sich ein in eine besorgniserregende Entwicklung. Erst Anfang Juni hatte eine als „Miasma" bekannte Kampagne KI-Entwickler ins Visier genommen. Angreifer schleusten Schadcode in 73 Microsoft-GitHub-Repositories ein – darunter auch in Projekte für Azure und verschiedene KI-Programmierwerkzeuge. Ziel war der Diebstahl von Zugangsdaten von Entwicklern, die KI-gestützte Programmierumgebungen nutzen.

Diese Vorfälle zeigen einen klaren Trend: Automatisierte Systeme und KI-Entwicklungstools werden zunehmend zur bevorzugten Angriffsfläche für komplexe Identitätsdiebstähle und Account-Übernahmen.

Schutzmaßnahmen für betroffene Nutzer

Anzeige: Begehrte Nutzernamen wie @hey wurden auf Telegram für über eine Million Euro gehandelt – dank einer KI-Chatbot-Lücke. Erfahren Sie, wie Sie Ihren Account mit Passkeys und einzigartigen Zugangsdaten schützen. Schutz-Guide jetzt sichern

Cybersicherheitsexperten raten nach der Instagram-Panne und weiteren Datenlecks zu verstärkten Schutzmaßnahmen. Zwar war der HTS-Exploit eine spezielle Angriffsform, grundlegende Sicherheitsregeln bleiben aber entscheidend:

  • Passkeys nutzen: Der Umstieg von traditionellen Passwörtern auf biometrisch gestützte Zugangsschlüssel erschwert Passwort-Zurücksetzungs-Angriffe erheblich.
  • Einzigartige Zugangsdaten: Für jeden Dienst ein eigenes Passwort verwenden – das verhindert „Credential Stuffing", bei dem Hacker geleakte Daten von einer Plattform für andere nutzen.
  • Kontosperrungen prüfen: Bei Verlust sensibler Daten wie Geburtsdaten oder Telefonnummern empfiehlt sich eine „Port-Sperre" beim Mobilfunkanbieter, um SIM-Swapping zu verhindern. Auch eine Kreditkartensperre bei den großen Auskunfteien kann Identitätsdiebstahl erschweren.
  • Vorsicht bei dubiosen Diensten: Angebote, die versprechen, Daten aus dem Darknet zu löschen, sind in der Regel technisch unmöglich und oft betrügerisch.

Meta versichert, die Überwachung auf ähnliche Angriffsmuster fortzusetzen – insbesondere da der Konzern immer mehr automatisierte Entscheidungsprozesse in seine Support-Infrastruktur integriert.

de | wissenschaft | 69539527 |