In einer offiziellen Datenschutzmeldung beziffert Meta erstmals das Ausmaß der bereits bekannten Schwachstelle in seinem KI-Support-Chatbot. Die Hacking-Kampagne lief fast sieben Wochen.
Meta hat in einer Datenschutzmeldung an die Generalstaatsanwaltschaft von Maine erstmals konkrete Zahlen zur Hacking-Kampagne gegen Instagram-Konten genannt. Demnach wurden mindestens 20.225 Konten kompromittiert, davon 30 in Maine.
Hacker haben monatelang Metas KI-gestützten Support-Chatbot für Instagram ausgenutzt, um fremde Konten zu übernehmen. Der Chatbot, ein Kontowiederherstellungstool namens "High Touch Support", sollte eigentlich ausgesperrten Nutzern helfen, wieder Zugang zu ihrem Konto zu erhalten. Doch ein Bug in einem separaten Code-Pfad führte dazu, dass das System nicht überprüfte, ob die angegebene E-Mail-Adresse tatsächlich zum jeweiligen Instagram-Konto gehörte.
Laut der Meldung liefen die Angriffe seit etwa dem 17. April 2026 und wurden erst am 31. Mai entdeckt. Die Angreifer nutzten die bereits bekannte Schwachstelle im KI-gestützten Kontowiederherstellungssystem "High Touch Support", das Passwort-Reset-Links an beliebige E-Mail-Adressen verschickte, ohne deren Zugehörigkeit zum Konto zu prüfen.
Meta bezeichnet die 20.225 als Obergrenze, da einige Zugriffe auch von legitimen Kontoinhabern stammen könnten. Die potenziell zugänglichen Daten umfassen laut Meta Kontaktinformationen, Geburtsdaten, Posts, Direktnachrichten, Kontoaktivitäten, Profilinformationen und verknüpfte Dienste. Das Unternehmen gibt an, nicht zu wissen, welche Informationen tatsächlich eingesehen wurden. Thisweekinsecurity berichtete zuerst über die Meldung.
Meta deaktiviert Chatbot und überprüft alle Plattformen
Als Sofortmaßnahme hat Meta den KI-Chatbot deaktiviert, den fehlerhaften Code-Pfad entfernt und alle über das System generierten Passwort-Reset-Links für ungültig erklärt. Betroffene Nutzer wurden in einen obligatorischen Sicherheits-Checkpoint versetzt und aufgefordert, ihre Passwörter über verifizierte Kanäle zurückzusetzen.
Vor einer Reaktivierung des Tools will Meta die E-Mail-Verifizierung im Wiederherstellungsprozess korrigieren und ähnliche Kontowiederherstellungssysteme auf allen Plattformen überprüfen. Der Vorfall fällt in eine Phase, in der Meta Tausende Mitarbeiter entlassen und zugleich massiv auf KI gesetzt hat. Der KI-Support-Chatbot war zuvor von Meta als Gewinn für die Kontensicherheit vermarktet worden.
KI-News ohne Hype – von Menschen kuratiert
Mit dem THE‑DECODER‑Abo liest du werbefrei und wirst Teil unserer Community: Diskutiere im Kommentarsystem, erhalte unseren wöchentlichen KI‑Newsletter, 6× im Jahr den "KI Radar"‑Frontier‑Newsletter mit den neuesten Entwicklungen aus der Spitze der KI‑Forschung, bis zu 25 % Rabatt auf KI Pro‑Events und Zugriff auf das komplette Archiv der letzten zehn Jahre.
