Hacker übernahmen fremde Instagram-Konten über Support

Sicherheitslücke bei Instagram

Meta-KI hilft Hackern bei der Übernahme fremder Konten

Angreifer haben mit Hilfe von Metas Chatbot fremde Instagram-Konten übernommen. Betroffen war auch ein altes Profil des Weißen Hauses.

Cyberkriminelle haben Metas KI-Chatbot genutzt, um fremde Instagram-Konten zu übernehmen. Betroffen waren auch bekannte Profile: das frühere Konto des Weißen Hauses aus der Amtszeit von Barack Obama, das Konto eines ranghohen Angehörigen der US-Weltraumstreitkräfte und das des Kosmetikunternehmens Sephora. Zuerst hat das US-Technikportal „404 Media“ über das Thema berichtet.

Für den Angriff waren demnach weder Schadsoftware noch besondere technische Kenntnisse nötig. Die Täter hätten den Support-Chatbot von Instagram lediglich gebeten, ein fremdes Konto mit einer neuen E-Mail-Adresse zu verknüpfen und einen Code zum Zurücksetzen des Passworts dorthin zu senden. Dem sei das Programm nachgekommen. Mit dem Code habe sich das Passwort geändert und der eigentliche Inhaber aussperren lassen.

• Metas neue Einnahmequelle: Plus-Funktionen bei Instagram und Co. kosten bald Geld
• Für vertrauliche Gespräche: WhatsApp führt geheime KI-Chats ein

Eine Hürde gab es dennoch: Meta prüft, ob eine Anfrage aus der Region des Kontoinhabers stammt. Diese Kontrolle hätten die Angreifer mit einem virtuellen privaten Netzwerk umgangen, kurz VPN, also mit einem Dienst, der den Standort eines Geräts verschleiert. Voraussetzung sei zudem ein Konto ohne Zwei-Faktor-Anmeldung gewesen; dabei ist neben dem Passwort eine zweite Bestätigung nötig.

Anleitungen für das Vorgehen kursieren seit Ende März in Gruppen auf dem Messengerdienst Telegram, heißt es weiter. Dort seien auch begehrte Kontonamen gehandelt worden, etwa kurze Namen aus wenigen Buchstaben oder bekannten Wörtern. Über mehrere übernommene Konten verbreiteten die Angreifer so proiranische Propaganda, darunter über das frühere Obama-Profil und das des Soldaten John Bentivegna.

Wer hinter den Angriffen steckt und wie oft die Methode erfolgreich war, ist unklar. Meta reagierte nach Bekanntwerden der Angriffe. Ein Konzernsprecher erklärte „404 Media“: „Das Problem wurde behoben und wir sichern betroffene Accounts.“

Meta hatte den KI-Support erst im März für alle Konten bei Facebook und Instagram freigeschaltet. Der Assistent soll rund um die Uhr bei Problemen helfen und dabei nicht nur Tipps geben, sondern Aufgaben selbst erledigen, etwa Passwörter zurücksetzen.

Es war nicht das erste Problem des Konzerns mit der Kontowiederherstellung: Im Januar verschickte Instagram nach eigenen Angaben unaufgefordert Tausende E-Mails zum Zurücksetzen von Passwörtern.