Mehrere prominente Instagram-Konten wechselten am Wochenende unfreiwillig den Besitzer, darunter das Profil des Obama White House. Die Angreifer brauchten dafür weder ein Passwort noch eine gestohlene Datenbank. Eine höfliche Bitte an den KI-Support genügte.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Ein Account-Takeover bei Instagram lief in den vergangenen Wochen so simpel ab, dass selbst erfahrene Sicherheitsforscher zunächst an einen Scherz dachten. Der Sicherheitsforscher Sid hat den Ablauf öffentlich dokumentiert und zeigt, wie Metas KI-gestützter Support fremde Konten praktisch auf Zuruf übergab.
Das Wichtigste in Kürze
- Der Angreifer benötigt nur den öffentlichen Nutzernamen und eine Proxy-Verbindung aus der passenden Region.
- Über den KI-Support ließ sich die hinterlegte Wiederherstellungs-Adresse auf eine fremde E-Mail umbiegen.
- Eine aktivierte Zwei-Faktor-Authentifizierung wurde dabei vollständig umgangen.
- Meta hat die Lücke inzwischen geschlossen, sie stand aber offenbar wochenlang offen.
Wie lief der Account-Takeover ab?
Den Einstieg lieferte allein der öffentliche Nutzername eines Profils. Über einen Proxy aus der Heimatregion des Opfers wirkte die Anfrage für Metas Sicherheitsalgorithmen unauffällig. Anschließend meldeten die Angreifer dem KI-Support ein angeblich gehacktes Konto und ließen sich den Bestätigungscode an eine selbst kontrollierte Adresse schicken.
Eine echte Prüfung, ob diese Adresse jemals zum Konto gehörte, fand offenbar nicht statt. Den geforderten Video-Selfie-Nachweis akzeptierte das System nach den Berichten teils sogar als animiertes Profilfoto aus dem Feed des Opfers.
Warum half die Zwei-Faktor-Authentifizierung nicht?
Der Wiederherstellungs-Prozess behandelte die Anfrage wie einen vollständigen Reset durch den rechtmäßigen Eigentümer. Damit fielen die Zwei-Faktor-Authentifizierung und alle aktiven Sitzungen weg. Eine Benachrichtigung per E-Mail, SMS oder Push blieb aus.
Die eigentlichen Inhaber bemerkten den Verlust oft erst, als E-Mail und Telefonnummer bereits auf die Angreifer zeigten. Ein menschlicher Ansprechpartner zur Eskalation fehlte komplett.
Ein KI-Support, der die hinterlegte Adresse auf freundliche Nachfrage ändert, ist keine Service-Funktion, sondern eine offene Tür. Konzerne sparen an der menschlichen Eskalation und reichen das Risiko an ihre Nutzer weiter.
— Markus Seyfferth, Chefredakteur Dr. Web
Was bedeutet der Fall für Unternehmensprofile?
Für Firmen mit gepflegten Instagram-Präsenzen steht mehr auf dem Spiel als ein privates Konto. Markenprofile mit kurzen Handles erzielen auf Schwarzmärkten teils sechsstellige Beträge, was den Reiz für organisierte Telegram-Gruppen erhöht. Betroffen waren bereits Profile bis hinauf zum Chief Master Sergeant der U.S. Space Force.
Marketing-Verantwortliche sollten die Wiederherstellungs-Adressen ihrer Kanäle prüfen und den Kreis der Personen mit Zugriff klein halten. Die Roadmap dazu liefert der Überblick zu den Cybersecurity-Grundlagen, und der Fall reiht sich in eine Serie von Schwachstellen ein, von der Authenticator-Lücke CVE-2026-41615 bis zu den KI-gestützten Phishing-Wellen dieses Jahres.
Meta hat den Weg nach Berichten aus der Sicherheitsszene inzwischen geschlossen. Verlassen sollten sich Betreiber darauf nicht. Prüfen Sie heute, welche E-Mail-Adresse und Telefonnummer bei Ihren Geschäftskonten hinterlegt sind, und notieren Sie einen zweiten Weg zurück ins Konto, falls der automatisierte Support versagt.
Mehr #Meta News
Mehr zu Instagram-Sicherheit
Mehr Newshunger?
