Thought Leadership
Hacker missbrauchten die automatisierte KI-Kontowiederherstellung von Meta, um wertvolle Instagram-Profile mithilfe von Deepfakes zu übernehmen.
Eine koordinierte Welle von Kontenübernahmen auf der Social-Media-Plattform Instagram ging von Hackern aus, die gezielt auf seltene und hochpreisige Benutzernamen sowie prominente Profile abhob. Angreifer, die laut ersten Analysen Verbindungen zu politisch motivierten Hacktivisten aufweisen, nutzten eine technische Schwachstelle in den automatisierten Sicherheitsarchitekturen von Meta aus, um Konten in Echtzeit zu kapern. Betroffen waren unter anderem sogenannte OG-Handles, also extrem kurze oder seltene Benutzernamen, die auf dem digitalen Schwarzmarkt Handelswerte von mehreren hunderttausend Dollar erzielen.
Die Übernahmen betrafen jedoch auch hochrangige Accounts aus dem öffentlichen Sektor, wie das Profil des Chief Master Sergeant der US Space Force, John F. Bentivegna, sowie ein historisches Profil der US-Regierung aus der Obama-Ära. Die kompromittierten Konten wurden unmittelbar nach dem Zugriff auf verschlüsselten Telegram-Kanälen zum Verkauf angeboten. Auch die bekannte IT-Sicherheitsforscherin Jane Manchun Wong verlor vorübergehend den Zugriff auf ihr Profil.
„Das Passwort wurde ohne mein Wissen geändert, und ich erhielt gestern den ganzen Tag über verschiedene Versuche zur Passwortrücksetzung. Und ich wurde wiederholt aus der IG iOS-App abgemeldet. Ziemlich besorgniserregend.“
Jane Manchun Wong, IT-Sicherheitsforscherin
Schwachstelle im Sprachverständnis des Support-Chatbots
Der logische Kern des Angriffs basiert auf einer Sicherheitslücke innerhalb des großen Sprachmodells (Large Language Model, LLM), das Meta für die Bearbeitung von Support-Anfragen implementiert hat. Um den personellen Aufwand bei der Bearbeitung von Millionen jährlicher Kontosperrungen zu reduzieren, schaltete der Konzern eine dialogbasierte KI-Schicht vor die administrativen Workflows. Dieses System besitzt weitreichende Berechtigungen, um Passwörter zurückzusetzen, Verknüpfungen zu E-Mail-Adressen zu ändern und die Identität von Nutzern eigenständig zu validieren.
Die Angreifer nutzten ein Verfahren, das in der Cybersecurity als Prompt Injection klassifiziert wird. Durch gezielte, manipulative Texteingaben gelang es den Hackern, die internen Sicherheitsanweisungen des Chatbots zu überschreiben. Es handelte sich um eine klassische Variante eines Confused-Deputy-Angriffs. Hierbei wird ein vertrauenswürdiges System, in diesem Fall das Support-LLM, durch Täuschung dazu gebracht, seine privilegierten Sonderrechte im Sinne des Angreifers missbräuchlich anzuwenden. Da die Angriffsfläche bei einem Sprachmodell auf dem semantischen Verständnis der menschlichen Sprache beruht und nicht auf klassischen Software-Code-Schnittstellen, war die Manipulation für automatisierte Filtersysteme kaum zu erkennen.
Deepfake-Selfies überlisten die automatisierte Identitätsprüfung
Die Angreifer kombinierten die Schwachstelle im Sprachmodell mit hochentwickelten Methoden der künstlichen Bildgenerierung, um die mehrstufige Identitätsprüfung von Instagram vollständig auszuhebeln. Um eine Kontowiederherstellung zu legitimieren, fordert das automatisierte System von Meta üblicherweise den Upload eines kurzen Selfie-Videos, in dem der Nutzer vordefinierte Kopfbewegungen ausführen muss. Die Hacker umgingen diese Barriere, indem sie öffentlich zugängliche Porträtfotos von den Zielprofilen sammelten.
Diese statischen Bilder wurden in generative KI-Videowerkzeuge eingespeist, um lebensechte, animierte Videosequenzen zu erzeugen, welche die geforderten Bewegungsabläufe präzise imitierten. Um den Betrug im System abzurunden, konfigurierten die Angreifer ihre virtuellen privaten Netzwerke (VPN) so, dass die IP-Adressen exakt mit den geografischen Standortdaten übereinstimmten, die die Opfer in ihren öffentlichen Profilen hinterlegt hatten. Das automatisierte Prüfsystem stufte die gefälschten Videobeweise als legitim ein, trennte die bestehenden Zwei-Faktor-Authentifizierungen und übertrug die Kontonkontrolle an die E-Mail-Adressen der Angreifer. Der gesamte Übernahmeprozess dauerte pro Konto oft nur wenige Minuten.
Das Problem fehlender menschlicher Kontrollinstanzen im Notfall
Nach dem erfolgreichen Angriff sahen sich die betroffenen Nutzer mit erheblichen administrativen Barrieren bei dem Versuch konfrontiert, ihre digitalen Vermögenswerte zurückzuerlangen. Da Meta den gesamten Wiederherstellungsprozess vollständig automatisiert hat, existierten für die Opfer keinerlei Optionen, um den Vorfall an menschliche Support-Mitarbeiter zu eskalieren. Die Geschädigten verblieben in einer permanenten Schleife innerhalb desselben Chatbot-Systems, das zuvor von den Angreifern manipuliert worden war. IT-Investoren und Marktbeobachter kritisierten dieses Verfahren scharf, da es die fundamentale Konzeptschwäche aufzeige, kritische Sicherheitsinfrastrukturen ohne menschliche Kontrollinstanzen (Human-in-the-Loop) zu betreiben.
Am Montag, den 1. Juni 2026, reagierte Meta schließlich mit der Veröffentlichung eines dringenden Hotfixes und erklärte, dass ein Problem behoben wurde, welches externen Parteien das unautorisierte Anfordern von E-Mails zur Passwortrücksetzung ermöglichte. Der Konzern betonte, dass keine direkte Kompromittierung der internen Server stattgefunden habe, ließ jedoch die genaue Anzahl der dauerhaft verlorenen Konten unkommentiert.
