Meta AI auf Instagram: Schwachstelle ermöglicht angeblich Passwort-Reset

Zu den ersten, die diese Verwundbarkeit öffentlich machten, gehören die Sicherheitsforscher ZachXBT und Dark Web Informer. Sie zeigten auf, dass Angreifer den KI-Assistenten. Das Tool dient normalerweise Nutzern dabei, den Zugang zu ihren Konten wiederherzustellen.

In diesem Fall umgingen die Angreifer durch gezielte Gespräche mit dem Chatbot alle Identitätsprüfungen. Die Ursache lag in unzureichenden Kontrollen bei der Verarbeitung der Wiederherstellungsanfragen durch die Künstliche Intelligenz. Praktisch jeder, der den Benutzernamen eines Ziels kannte, konnte so die Übernahme des Kontos einleiten.

Meta bestätigte, dass es sich nicht um einen traditionellen Angriff auf die Server handelte und keine Backend-Systeme kompromittiert wurden. Stattdessen befand sich die Schwachstelle in der Logikschicht der KI. Vor der Bearbeitung der Anfragehäufigkeit sowie die Durchsetzung notwendiger Authentifizierungsrichtlinien.

Sicherheitslage und Risiko

Die Angriffe richteten sich gezielt auf hochwertige Instagram-Konten. Die Täter konzentrierten sich auf Premium-Accounts mit kurzen Benutzernamen, wie beispielsweise @hey oder @jowo. Diese Profile sind auf dem Untergrundmarkt aufgrund ihres hohen Wiederverkaufswerts besonders begehrt.

Der Gesamtwert der gestohlenen Konten überschritt in einigen Fällen eine Million US-Dollar. Die gestohlenen Zugangsdaten wurden in privaten Telegram-Kanälen rasch weiterverkauft, noch bevor Meta eingreifen konnte.

Die Schnelligkeit der Operationen unterstreicht, wie organisiert und finanziell motiviert die Bedrohungsakteure mittlerweile bei der Ausnutzung ücken in -Media-Plattformen agieren. Dark Web Informer bestätigte die Verkaufsaktivitäten und verfolgte in Echtzeit die Verbreitung der gestohlenen Kontolisten in Telegram-Gruppen.

Diese Taktik ist im Ökosystem des

Diese Taktik ist im Ökosystem des „Account-Takeover-as-a-Service" zunehmend üblich. Meta schloss die Sicherheitslücke am späten Freitag, nachdem die Berichte im Internet veröffentlicht worden waren.

In einer offiziellen Erklärung gab das Unternehmen bekannt, ein Problem behoben zu haben, das es externen Parteien ermöglichte, Passwort-Reset-E-Mails für bestimmte Instagram-Nutzer anzufordern. Meta betonte, dass es keinen Vorfall in ihren Systemen gab und die Instagram-Konten der Nutzer sicher blieben.

Trotz der Reparatur wirft der Vorfall ernste Fragen bezüglich der Sicherheitsarchitektur rund um KI-gestützte Support-Tools und deren Zugriff auf sensible Funktionen zur Wiederherstellung darauf hin, dass Konten, die durch Zwei-Faktor-Authentifizierung (2FA) geschützt sind, während dieses Angriffs nicht kompromittiert wurden.

Technischer Hintergrund

Als Schutzmaßnahmen empfehlen Experten dringend folgende Schritte: Aktivieren Sie eine app-basierte Zwei-Faktor-Authentifizierung, etwa mit Google Authenticator oder Authy, anstelle einer SMS-basierten Verifizierung. Verwenden Sie eine private, dedizierte E-Mail-Adresse, die nicht öffentlich mit Ihrem Instagram-Profil verknüpft ist.

Vermeiden Sie die Wiederverwendung örtern über verschiedene Plattformen hinweg und nutzen Sie ein seriöses Passwort-Management-Tool. Überprüfen Sie regelmäßig die Login-Aktivität unter den Sicherheitseinstellungen Backup-Codes sicher, falls eine Notfall-Wiederherstellung des Kontos erforderlich wird.

Der schnelle Patches Besorgnis: Da KI-Tools zunehmend tiefgreifenden Zugriff auf Kontoverwaltungsfunktionen erhalten, entwickelt sich ihre Anfälligkeit für Engineering zu einer kritischen Angriffsfläche, die deutlich strengere Sicherheitsmaßnahmen erfordert.