Wenn der Helfer zum Täter wird: Der KI-Bypass bei Instagram
Es ist eine Ironie der Tech-Geschichte: Ausgerechnet das System, das Nutzer vor unbefugtem Zugriff schützen soll, hat Hackern die Tür geöffnet. Wie Berichte aus dem Wochenende zeigen, hat Metas KI-gestützter Support-Bot erhebliche Sicherheitslücken aufgewiesen, die es Angreifern ermöglichten, hochkarätige Instagram-Accounts mit Leichtigkeit zu kapern. Statt Identitäten zu überprüfen, änderte der Bot auf bloße Anfrage hin die hinterlegte E-Mail-Adresse – und ebnete so den Weg für einen kompletten Account-Takeover.
Ein Exploit, simpler als gedacht
Die Verwundbarkeit von Metas AI-Support-Assistenten wurde im Vorfeld der Patch-Bereitstellung in sozialen Netzwerken eindrucksvoll – und erschreckend simpel – demonstriert. Ein Angreifer musste lediglich den Bot anweisen, die E-Mail-Adresse des Ziel-Accounts zu ändern. Eine Identitätsprüfung? Fehlanzeige. Der Bot vollzog den Wechsel ohne jegliche Gegenfragen oder Verifikationsschritte.
Noch brisanter: In manchen Fällen scheint die KI sogar die etablierte Two-Factor Authentication (2FA) umgangen zu haben. Der einzige Schutzmechanismus, der auf Seiten von Meta offenbar noch greifen sollte, war eine grobe Standortüberprüfung. Doch diese ließ sich trivial überwinden. Die Nutzung eines VPNs, das auf einen Standort in der Nähe des Opfers konfiguriert wurde, reichte aus, um die rudimentären Sicherheitsabfragen auszutricksen.
Das Vertrauen von Meta in diese Mechanismen wirkt im Nachhinein fast zynisch. In einem eigenen Blogpost zum AI-Support-Agenten hieß es einst: „Unsere Systeme erkennen das Gerät, das Sie normalerweise verwenden, und vertraute Orte besser denn je.“ Genau diese überzogene Zuversicht in flache Heuristiken wurde zum Verhängnis.
KI schlägt KI: Das Selfie-Problem
Als wäre der fehlende E-Mail-Check nicht schon schlimm genug, offenbarte sich eine weitere Schwachstelle bei der Verifikation per Selfie. In bestimmten Szenarien forderte der Bot ein Foto zur Identitätsprüfung – ein Ansatz, der theoretisch Sicherheit bietet. In der Praxis nutzten Hacker jedoch schlichtweg KI-generierte Bilder, um diese Hürde zu nehmen. Ein klassischer Fall von „AI vs. AI“, bei dem die Verteidigungstechnologie der Angriffstechnologie hoffnungslos unterlegen war.
Hochkarätige Opfer und der Schwarzmarkt-Boom
Der Exploit war für einen kurzen Zeitraum öffentlich verfügbar, und die Folgen waren verheerend. Betroffen waren nicht nur Normalnutzer mit begehrten Handles, sondern auch Accounts mit enormer Reichweite und öffentlicher Bedeutung. Gehackt wurden unter anderem der Account von Sephora, der Account des Chief Master Sergeant of the Space Force, die Profilseite der Forscherin Jane Manchun Wong sowie der Account @albert des Entwicklers Albert Renshaw. Sogar das archivierte Instagram-Profil des Barack Obama White House wurde kompromittiert.
Wie ein Sicherheitsforscher betonte, machten Telegram-Kanäle, die Schwarzmarkt-Dienste für Instagram anbieten, mit der Lücke „viel $$$“. Laut dem Medium 404 Media wussten Hacker bereits seit März von dieser Schwachstelle – der Patch folgte also erst, nachdem der Schaden bereits massiv eskaliert war.
Die Lektion: Automatisierung braucht menschliche Aufsicht
Dieses Desaster ist ein Lehrstück darüber, wie man Sicherheit nicht skalieren darf. Der Kernfehler von Meta lag nicht in der Idee, KI für den Support zu nutzen, sondern in der Implementierung ohne ausreichende Guardrails. Eine KI, die kritische Account-Daten wie die E-Mail-Adresse ändert, muss zwingend tiefgreifende Verifikationen durchführen. Sie darf sich nicht auf leicht zu fälschende Standortdaten oder simple Selfies verlassen, die von anderen KIs generiert wurden.
Besonders entlarvend ist das anschließende Dilemma der betroffenen Nutzer: Viele, deren Accounts gestohlen wurden, versuchten verzweifelt, denselben KI-Bot zur Rückgewinnung zu nutzen – und scheiterten. Eine Möglichkeit, mit einem echten Menschen zu sprechen, gab es nicht. Das ist der Fluch der Hyper-Automatisierung: Wenn das System versagt, gibt es keinen Plan B.
Meta hat die Lücke mittlerweile geschlossen. Andy Stone, VP of Communications bei Meta, bestätigte, dass das Problem behoben sei und man nun dabei sei, „betroffene Accounts abzusichern“. Ein solcher Patch ist notwendig, reicht aber nicht aus, um das Vertrauen in die Sicherheitsarchitektur von Meta wiederherzustellen. Die Lektion für die gesamte Tech-Branche lautet: Wer menschliche Support-Mitarbeiter durch KI ersetzt, muss in die Sicherheitsschichten dieser KI mindestens so viel investieren wie in ihre Konversationsfähigkeit. Andernfalls wird der Support-Bot schneller zum Werkzeug von Hackern als zum Helfer der Nutzer.
Quelle: MacRumors