Meta hat E-Mail-Benachrichtigungen an Instagram-Nutzer versendet.

Am Wochenende gaben Hacker bekannt, erfolgreich den KI-Chatbot von Meta ausgenutzt zu haben, um die Kontrolle über zahlreiche beliebte Instagram-Konten zu erlangen. Gleichzeitig beschwerten sich viele Nutzer in den sozialen Medien über den Diebstahl ihrer Instagram-Konten, darunter auch Konten mit kurzen und einzigartigen Nutzernamen.

TechCrunch berichtete von Fällen, in denen Accounts mit beliebten oder Ländernamen kompromittiert wurden. Diese Accounts wurden anschließend auf dem Schwarzmarkt, der sich auf originelle (OG) Namen spezialisiert hat, als Sammlerstücke weiterverkauft. Zu den weiteren Opfern dieser Kampagne scheint auch ein inaktiver Account des Weißen Hauses aus der Zeit des ehemaligen Präsidenten Barack Obama zu gehören (was Meta jedoch dementiert).

Instagram-Meta — Ein Screenshot zeigt die erfolgreiche Übernahme eines Instagram-Kontos mithilfe eines KI-Chatbots. Foto: TechCrunch

Diese Angriffe waren so einfach, dass die Bezeichnung „Cyberangriffe“ die Rolle der Täter möglicherweise überbewertet und Metas Versäumnis, solche rudimentären Methoden der Übernahme von Benutzerkonten zu verhindern, nicht ausreichend berücksichtigt.

Hacker teilen dem KI-Chatbot von Meta einfach mit, dass sie Inhaber des Zielkontos sind, und fordern das System anschließend auf, dieses Konto mit einer von ihnen kontrollierten E-Mail-Adresse zu verknüpfen. Der Chatbot führt die Anfrage korrekt aus, sodass der Angreifer das Passwort zurücksetzen und die Kontrolle erlangen kann, ja sogar den Zugriff des Opfers sperren kann. Weder Mitarbeiter noch Auftragnehmer von Meta sind an diesem Verifizierungsprozess beteiligt.

Am 1. Juni bestätigte Meta-Sprecher Andy Stone: „Der Vorfall hat sich ereignet und wurde inzwischen behoben.“ Am darauffolgenden Tag meldeten jedoch weitere Instagram-Nutzer, dass ihre Konten gehackt worden seien.

TechCrunch verfolgte unterdessen Diskussionen in einem Telegram-Kanal, in dem die Angriffsmethode geteilt wurde. Mitglieder gaben dort an, zum Zeitpunkt der Veröffentlichung dieses Artikels weiterhin in der Lage zu sein, den Chatbot von Meta auszunutzen und die kompromittierten Accounts offen zu verkaufen. Es lässt sich nicht eindeutig feststellen, ob alle diese Accounts mit derselben Methode angegriffen wurden.

Das könnte Sie interessieren

Zahlreiche Shops sind von Instagram „verschwunden“: Was ist da los?Viele Online-Shop-Betreiber in Vietnam haben gleichzeitig auf Instagram Ankündigungen veröffentlicht, in denen sie die vorübergehende Einstellung des Betriebs, die Einschränkung neuer Kundenanfragen oder den Wechsel zu Transaktionen über Zalo, Threads und andere Plattformen ankündigen.

In einem späteren Beitrag auf Plattform X erklärte Stone: „Manche Nutzer erhalten möglicherweise Benachrichtigungen zum Zurücksetzen ihres Passworts, und manche werden möglicherweise aufgefordert, Sicherheitsfragen zu beantworten, wenn sie versuchen, sich in ihre Konten einzuloggen.“

Stone bestätigte gegenüber TechCrunch per E-Mail, dass Meta die betroffenen Konten am 1. Juni gesichert und anschließend mit dem Versand von E-Mails zum Zurücksetzen der Passwörter begonnen habe. Die Anzahl der betroffenen Nutzer wollte er jedoch nicht preisgeben.

Viele Nutzer berichteten, dass Meta begonnen hatte, Warnmeldungen zu versenden. Betroffene teilten öffentlich mit, E-Mails von Instagram erhalten zu haben, in denen stand, das Unternehmen habe „verdächtige Aktivitäten festgestellt, die darauf hindeuten, dass Ihr Instagram-Konto möglicherweise kompromittiert wurde“. In der Benachrichtigung hieß es außerdem, das Unternehmen habe Sicherheitsmaßnahmen für Konten ergriffen und forderte die Nutzer auf, ihre Passwörter zurückzusetzen.

Wie 404 Media bereits berichtete, kündigte Meta im März an, KI zur Automatisierung des Kundensupports einzusetzen. Das Unternehmen erklärte, sein Chatbot sei darauf ausgelegt, Kontoprobleme von Anfang bis Ende zu lösen und könne Passwörter sicher zurücksetzen.

Dies beweist, dass Chatbots angesichts der Bedeutung von Sicherheitssystemen Aufgaben übernehmen können, die zuvor menschliches Eingreifen erforderten.

Der Markt für den Kauf und Verkauf von OG-Benutzernamen ist über die Jahre deutlich gewachsen. Früher erforderte die Übernahme dieser Accounts jedoch ausgefeiltere Strategien, wie etwa die Vortäuschung einer anderen Identität, die Übernahme von Telefonnummern oder die Bestechung von Insidern bei Telekommunikationsanbietern.