Das ist eine dieser Geschichten, bei denen du dir die Augen reibst. Hacker haben hochrangige Instagram-Konten übernommen — nicht durch ausgefeilte Exploits oder Zero-Days, sondern indem sie Metas KI-Support-Chatbot gebeten haben, die E-Mail-Adresse des Zielkontos zu ändern. Und der Bot hat es gemacht.
Wie der Angriff funktionierte
Der Ablauf war erschreckend simpel: VPN einschalten, um den Standort des Opfers vorzutäuschen. Dann eine Chat-Sitzung mit dem Meta AI Support Assistant starten. Dort einfach bitten, eine neue E-Mail-Adresse zum Konto hinzuzufügen. Der Bot schickt einen Bestätigungscode an die E-Mail des Hackers, der Hacker gibt den Code ein, bekommt einen ‘Passwort zurücksetzen’-Button — und fertig.
Kein Passwort nötig. Keine Sicherheitsfrage. Kein menschlicher Mitarbeiter, der stutzig wird.
Wer betroffen war
Die Liste liest sich wie ein Who’s Who: das offizielle Barack-Obama-White-House-Konto, der Chief Master Sergeant der US Space Force, und Sephoras Instagram-Profil. Instagram hat mittlerweile begonnen, betroffene Nutzer zu benachrichtigen.
Der einzige Schutz
Laut den Hackern selbst scheiterte der Angriff bei genau einer Bedingung: wenn das Zielkonto Zwei-Faktor-Authentifizierung (MFA) aktiviert hatte. Das ist die gute Nachricht. Die schlechte: Die meisten Accounts haben MFA nicht eingeschaltet.
Metas Reaktion
Instagram-Sprecher Andy Stone sagte, das Problem sei behoben. Allerdings berichteten Sicherheitsforscher, dass die Angriffe auch nach der angeblichen Behebung weitergingen.
Was das bedeutet
Der Fall zeigt ein grundsätzliches Problem: Wenn KI-Chatbots Zugriff auf sicherheitskritische Funktionen bekommen — wie das Ändern von E-Mail-Adressen —, dann wird Social Engineering plötzlich skalierbar. Der Hacker muss keinen Menschen mehr überzeugen. Er muss nur den Bot dazu bringen, die Anfrage als legitim einzustufen.
Für alle, die noch keine Zwei-Faktor-Authentifizierung nutzen: Das hier ist der Weckruf.
Quellen: 404 Media, TechCrunch, Krebs on Security