Größter Hacker-Skandal auf Instagram aufgeklärt

Durch eine übersprungene Sicherheitsprüfung vom KI-Chatbot konnte jeder beliebige Instagram Account vollständig übernommen werden.

Andreas Becker08.06.26 GPT-Images-2.0

Kurzfassung Quellen

Ein Programmierfehler in Metas KI-Chatbot zur Kontowiederherstellung erlaubte Hackern den Zugriff auf über 20.000 Instagram-Profile.
Das System verschickte Links für neue Passwörter ungeprüft an fremde E-Mail-Adressen der Angreifer.
Die Täter hatten wochenlang potenziell Zugriff auf private Nachrichten, Fotos und Profildaten.
Meta hat das fehlerhafte KI-System offline genommen und zwingt die betroffenen Nutzer zu einem sofortigen Passwortwechsel.

Eine Sicherheitslücke in Metas KI-Support-Chatbot ermöglichte den unbefugten Zugriff auf über 20.000 Instagram-Konten. Angreifer nutzten einen Fehler im Wiederherstellungsprozess aus, um fremde Profile fast sieben Wochen lang zu übernehmen. Meta hat das fehlerhafte KI-System inzwischen vollständig abgeschaltet.

Fehlerhafter Code-Pfad umgeht Verifizierung

Der KI-Chatbot mit dem Namen »High Touch Support« soll eigentlich ausgesperrten Nutzern helfen. Das System unterstützt Anwender bei der Wiederherstellung ihrer Instagram-Konten. Nutzer können über diesen Weg einen Link zum Zurücksetzen ihres Passworts anfordern.

Ein Fehler in einem separaten Code-Pfad setzte jedoch einen wichtigen Sicherheitsmechanismus außer Kraft. Das System prüfte nicht mehr, ob die eingegebene E-Mail-Adresse tatsächlich zum jeweiligen Profil gehörte. Angreifer konnten dadurch beliebige E-Mail-Adressen für fremde Konten hinterlegen.

Der KI-Chatbot verschickte die Reset-Links daraufhin blind an die unautorisierten Adressen. Kriminelle konnten die Passwörter anschließend problemlos ändern und die Konten übernehmen. Einzige Hürde blieb eine eventuell aktivierte Zwei-Faktor-Authentifizierung der rechtmäßigen Kontoinhaber.

Umfangreicher Datenzugriff über Wochen

Die Hacking-Kampagne startete nach Metas Angaben um den 17. April 2026. Das Unternehmen entdeckte die Angriffe erst am 31. Mai 2026. In diesem Zeitraum kompromittierten die Hacker bis zu 20.225 Nutzerkonten.

Die Eindringlinge hatten potenziell vollen Zugriff auf sensible Profildaten. Dazu zählen Direktnachrichten, private Fotos, Geburtsdaten und verknüpfte Dienste. Meta weiß laut der offiziellen Datenschutzmeldung an die Behörden nicht genau, welche Informationen die Angreifer tatsächlich ausgelesen haben.

Sicherheitsmaßnahmen und Kontosperren

Meta reagierte nach der Entdeckung umgehend auf den Vorfall. Das Unternehmen deaktivierte den betroffenen KI-Chatbot und entfernte den fehlerhaften Code-Pfad. Gleichzeitig erklärte der Konzern alle über dieses System generierten Reset-Links für ungültig.

Alle potenziell betroffenen Profile befinden sich nun in einem obligatorischen Sicherheits-Checkpoint. Die Inhaber müssen sich neu authentifizieren und ihre Passwörter über sichere Kanäle zurücksetzen. Meta kündigte zudem eine weitreichende Überprüfung ähnlicher Wiederherstellungssysteme auf allen Plattformen an.