Hacker haben Instagram-Konten kompromittiert, indem sie den KI-gestützten Support-Chatbot von Meta dazu manipulierten, den Zugriff zu gewähren. Diese Sicherheitslücke ermöglichte es Angreifern, Benutzerkonten ohne Kenntnis der legitimen Besitzer zu übernehmen. Das Problem wurde von Instagram mittlerweile behoben. Über das Wochenende hinweg berichteten mehrere Nutzer auf Reddit von kompromittierten Profilen, während auf X, früher Twitter, ähnliche Warnungen verbreitet wurden. Zu den betroffenen Konten gehörten unter anderem der offizielle Instagram-Account des Weißen Hauses aus der Zeit der Obama-Regierung, der seit 2017 inaktiv war, sowie das Profil von John Bentinvegna, dem Chefmaster Sergeant der US-Luftwaffe. Auch die Sicherheitsexpertin Jane Wong bestätigte, dass ihr Account übernommen wurde. Sie berichtete, dass ihr Passwort ohne ihr Wissen geändert wurde und sie wiederholt Versuche zur Passwortrücksetzung erhielt. Ein auf X veröffentlichtes Video dokumentierte detailliert den Ablauf des Angriffs. Demnach nutzten die Angreifer ein virtuelles Privatnetzwerk (VPN), um die geografische Position der Opfer zu simulieren und so automatische Schutzmechanismen von Instagram zu umgehen. Anschließend eröffneten sie einen Chat mit dem Meta AI Support Assistant und baten den Chatbot darum, eine neue E-Mail-Adresse zu dem Zielskonto hinzuzufügen. Der Chatbot generierte daraufhin einen Bestätigungscode und sandte diesen an die vom Hacker vorgegebene E-Mail-Adresse. Der Angreifer gab diesen Code an den Chatbot zurück, woraufhin eine Option zum Zurücksetzen des Passworts angezeigt wurde. Nach Eingabe eines neuen Passworts hatte der Hacker die volle Kontrolle über das Konto. Die erfolgreiche Ausführung dieses Tricks beruhte auf der Tatsache, dass der Hacker den legitimen E-Mail-Account des Opfers niemals kompromittieren musste. TechCrunch konnte verifizieren, dass der öffentliche E-Mail-Posteingang des Hackers den Bestätigungscode tatsächlich erhielt, was die Funktionsweise des Angriffs bestätigt. Am Montag bestätigte Andy Stone, ein Sprecher von Instagram, dass das Sicherheitsproblem behoben ist. Er antwortete damit auf Posts von Jane Wong und anderen Betroffenen. Es bleibt jedoch unklar, wie viele weitere Instagram-Nutzer durch diesen Vorfall in ihrer Privatsphäre beeinträchtigt wurden oder ob der Angriff weiter verbreitet war. Meta hat auf eine Anfrage von TechCrunch zur Kommentierung des Vorfalls bisher nicht reagiert. Der Vorfall unterstreicht die potenziellen Risiken, wenn KI-gestützte Support-Tools Sicherheitsprotokolle umgehen können, und verdeutlicht die Notwendigkeit strengerer Überwachungsmechanismen für automatisierte Zugriffsänderungen in sozialen Netzwerken.