Hacker nutzen Support-Bot von Meta, um Instagram-Konten zu kapern

Ein kritischer Fehler im KI-Support von Meta führte dazu, dass Angreifer fremde Instagram-Konten kapern konnten. Selbst das offizielle Archiv-Konto des Weißen Hauses unter Barack Obama war betroffen. Der Konzern hat die Lücke mittlerweile geschlossen.

KI-Support als Sicherheitsrisiko

Meta hat eine Schwachstelle bei Instagram behoben, durch die Unbefugte fremde Profile übernehmen konnten. Am vergangenen Wochenende nutzten Angreifer den neuen KI-gestützten Support-Chatbot aus, um sich Zugang selbst zu verifizierten Konten zu verschaffen. Prominentestes Opfer war das Archiv-Profil des Weißen Hauses aus der Amtszeit von Barack Obama. Der Konzern reagierte umgehend und schloss die Lücke.

Der Angriff basierte darauf, den Chatbot durch geschickte Eingaben zu manipulieren. Die Täter nutzten lokale VPN-Verbindungen und gaben vor, den Zugriff auf ein Konto verloren zu haben. Der virtuelle Assistent verknüpfte daraufhin ohne ausreichende Identitätsprüfung eine neue E-Mail-Adresse mit dem Zielprofil. Das ermöglichte ein sofortiges Zurücksetzen des Passworts. Social Engineering bei KI-Systemen wird zunehmend zum Problem.

Gefahr für Nutzer

Wie cryptoadventure berichtet, konzentrierten sich die Angriffe gezielt auf wertvolle, kurze Benutzernamen. Die gestohlenen Profile wurden kurz darauf in diversen Telegram-Kanälen zum Verkauf angeboten. Sobald Täter ein verifiziertes Konto kontrollieren, nutzen sie das etablierte Vertrauen der Nutzer für Phishing oder Krypto-Betrug. Die Follower bemerken den Wechsel der Inhaber oft zu spät.

Das betroffene Instagram-Profil des Weißen Hauses lag seit dem Ende von Obamas Amtszeit im Januar 2017 weitgehend brach. Nach der Übernahme veröffentlichten die Hacker ein KI-generiertes Bild mit einer politischen Botschaft. Obamas privates Profil mit mehreren Millionen Followern blieb unversehrt. Der Politiker war bereits im Jahr 2020 Opfer eines massiven Twitter-Hacks geworden, bei dem Kriminelle einen Bitcoin-Betrug bewarben.

Anwender können sich effektiv schützen, indem sie eine Zwei-Faktor-Authentifizierung für ihre Konten aktivieren (in der App unter Einstellungen/Kontenübersicht/Passwort und Sicherheit/Zweistufige Authentifizierung). Die jüngsten Angriffe scheiterten laut Sicherheitsexperten an allen Profilen, die das zusätzliche Sicherheitsverfahren nutzten.
Auf meinem privaten Instagram-Profil begrüßte mich plötzlich ein mir unbekanntes Gesicht... ... weit kam die Übernahme des Accounts aber nicht, da ich die Zweistufige Authentifizierung aktiviert hab.

Herausforderungen für Plattformen

Meta investiert seit Monaten stark in die Integration eigener KI-Modelle. Der Assistent Meta AI kommt unter anderem bei WhatsApp und Facebook zum Einsatz. Die Technologie soll Nutzern bei technischen Problemen helfen und als kreativer Begleiter dienen. Der aktuelle Vorfall verdeutlicht jedoch, dass die Systeme bei der Rechteverwaltung noch deutliche Schwächen aufweisen.

Nutzt ihr selbst KI-Assistenten bei Anfragen an den Kundenservice oder seht ihr die Entwicklung kritisch? Teilt eure Gedanken zu dem Vorfall gerne unten in den Kommentaren mit uns!


Siehe auch: