Meta-Sicherheit: 20.000+ Instagram-Konten durch KI-Chatbot gehackt

Sicherheitsforscher haben kritische Schwachstellen in Metas Plattformen entdeckt – und das Unternehmen bestätigt die Probleme.

Designfehler gefährdet Millionen Nutzer

Sicherheitsanalysen von GoPlus haben Anfang Juni einen hochriskanten Fehler in der Wiederherstellungsfunktion von Meta-Konten identifiziert. Die Lücke ermöglicht Angreifern, ohne vorherige Anmeldung sensible Daten abzurufen. Ein Benutzername reicht aus, um hinterlegte Telefonnummern und E-Mail-Adressen sichtbar zu machen.

Anzeige: Über 20.000 Instagram-Konten wurden bereits durch eine KI-Chatbot-Lücke gehackt – ohne 2FA waren sie schutzlos. Mit unserem kostenlosen Sicherheits-Check schützen Sie Ihr Konto in nur 3 Schritten. Jetzt kostenlosen Sicherheits-Check anfordern

Experten warnen vor einem erhöhten Risiko für Phishing-Angriffe, SIM-Swapping und vollständige Konto-Übernahmen. Als Schutz empfehlen sie, hinterlegte Telefonnummern oder E-Mails als primäre Wiederherstellungsmethode zu entfernen. Stattdessen sollten Nutzer eine Zwei-Faktor-Authentifizierung (2FA) aktivieren.

KI-Chatbot wurde zur Waffe

Parallel dazu bestätigte Meta einen schwerwiegenden Vorfall bei Instagram. Mindestens 20.225 Konten wurden kompromittiert. Angreifer nutzten eine Schwachstelle im KI-gestützten Support-System „High Touch Support“ (HTS). Durch Prompt-Injection-Angriffe brachten sie den Chatbot dazu, Passwörter zurückzusetzen und die Codes an externe E-Mail-Adressen zu senden.

Betroffen waren ausschließlich Konten ohne Zwei-Faktor-Authentifizierung. Unter den kompromittierten Profilen fanden sich prominente Ziele: das Weiße Haus unter Barack Obama, die US Space Force und das Unternehmen Sephora. Die ersten Vorfälle gab es Mitte April, die Entdeckung der Lücke erfolgte Ende Mai. Inzwischen hat Meta das betroffene Support-Tool deaktiviert und den Programmcode entfernt.

Aktie unter Druck

Die Bekanntgabe der Sicherheitsmängel hatte unmittelbare Folgen: Die Meta-Aktie verlor über fünf Prozent. Sicherheitsforscher sprechen von einem fundamentalen Architekturfehler bei der Implementierung automatisierter Support-Systeme.

Zusätzlich geriet Meta durch den konzerneigenen Oversight Board in die Kritik. Das Gremium monierte mangelnde Transparenz und fehlende rechtsstaatliche Verfahren bei der Deaktivierung von Nutzerkonten. Die aktuellen Sanktionssysteme seien undurchsichtig und böten keine effektiven Rechtsmittel. Der Board fordert ein einheitliches Dashboard und eine klare Offenlegung der Rolle von KI-Systemen bei Moderationsentscheidungen. Meta habe signalisiert, die Empfehlungen umsetzen zu wollen.

Anzeige: Meta bestätigt: Eine einzige Sicherheitslücke in der Wiederherstellungsfunktion gibt Angreifern Zugriff auf Telefonnummer und E-Mail – ohne Passwort. Unser Report zeigt, wie Sie diese Schwachstelle schließen und Ihr Konto absichern. Sicherheits-Report jetzt kostenlos sichern

Gesichtserkennung in smarten Brillen entdeckt

Auch bei der Hardware gibt es Zündstoff. Im Programmcode der Begleit-App für Ray-Ban Meta und Oakley-Brillen fanden sich Hinweise auf eine integrierte Gesichtserkennungspipeline. Die Funktion kann Gesichter in biometrische Datensätze umwandeln und lokal speichern. Zwar ist sie derzeit noch inaktiv – doch die technische Infrastruktur auf Millionen von Endgeräten sorgt für Kritik.

Die Vergangenheit zeigt: Datenschutzverstöße bei biometrischen Daten werden teuer. Meta zahlte bereits Vergleiche in Höhe von 650 Millionen US-Dollar in Illinois und 1,4 Milliarden US-Dollar in Texas. In Deutschland läuft eine Verbandsklage – allein in Thüringen haben sich rund 12.000 Nutzer wegen unerlaubter Verfolgung außerhalb der Meta-Plattformen angeschlossen.

de | wissenschaft | 69499589 |