Metas AI Account Recovery Tool hat 20.000 Instagram-Konten an Hacker weitergegeben

Was passiert ist

Meta hat bestätigt, dass zwischen dem 17. April und dem 31. Mai 2026 rund 20.225 Instagram-Konten kompromittiert wurden, als Angreifer eine kritische Sicherheitslücke im KI-gestützten Account-Wiederherstellungssystem ausnutzten. Das betroffene Tool mit dem Namen High Touch Support (HTS) soll Nutzern helfen, die den Zugriff auf ihre Konten verloren haben – doch ein Logikfehler machte es zu einem Angriffsvektor für Account-Übernahmen.

Die Sicherheitslücke wurde intern am 31. Mai entdeckt. Meta hat HTS seitdem deaktiviert, alle über den ausgenutzten Ablauf generierten Passwort-Reset-Links ungültig gemacht und betroffene Konten in eine obligatorische Sicherheitsprüfung aufgenommen, die ein Zurücksetzen des Passworts erfordert.

Wie der Angriff funktionierte

HTS ist ein KI-gestütztes System, das Nutzer durch die Account-Wiederherstellung führt, unter anderem durch die Identitätsprüfung per E-Mail-Adresse. Der Fehler: Das Tool hat nicht überprüft, ob die für ein Passwort-Reset angegebene E-Mail tatsächlich zum Zielkonto gehörte. Die Angreifer gaben stattdessen ihre eigenen E-Mail-Adressen an, und das Tool führte das Reset trotzdem durch.

Forscher und Responder, die die Angriffe beobachteten, stellten fest, dass einige der ausgefeilteren Exploit-Versuche Prompt Injection einsetzten – gezielte Eingaben, die das Verhalten des KI-Support-Tools manipulierten, um Sicherheitsvorkehrungen zu umgehen, die verdächtige Wiederherstellungsanfragen erkennen sollen. Dies ist einer der ersten bestätigten Fälle, in denen Prompt Injection in größerem Umfang gegen ein produktives KI-System einer großen Plattform eingesetzt wurde.

Konten ohne aktivierte Zwei-Faktor-Authentifizierung waren am stärksten gefährdet: Sobald ein Angreifer seine E-Mail verknüpft und das Passwort zurückgesetzt hatte, hatte er die vollständige Kontrolle. Hochwertige Konten mit aktivierter 2FA erforderten zusätzliche Schritte, obwohl einige dennoch durch Social Engineering im Wiederherstellungsablauf kompromittiert wurden.

Wer betroffen war

Der Vorfall traf überproportional Konten mit vielen Followern. Zu den bestätigten kompromittierten Konten gehörten die des Obama-White-House-Archivs, der Beauty-Marke Sephora und von US Space Force Chief Master Sergeant John Bentivegna. Mehrere gestohlene hochwertige Instagram-Handles tauchten anschließend auf Dark-Web-Marktplätzen zum Verkauf auf, mit geschätzten Wiederverkaufswerten von teilweise über 1 Million US-Dollar.

Die Gesamtzahl von 20.225 Konten mag nur einen Bruchteil der über 2 Milliarden aktiven Instagram-Nutzer ausmachen, doch die gezielte Auswahl hochkarätiger Profile deutet darauf hin, dass die Angreifer eine systematische Methode zur Identifizierung und Priorisierung wertvoller Ziele hatten, bevor sie den HTS-Exploit ausführten.

Metas Reaktion

Meta hat zum Zeitpunkt der Offenlegung folgende Maßnahmen ergriffen:

• HTS deaktiviert – das Tool wird erst wieder aktiviert, wenn ein Fix implementiert ist, der eine ordnungsgemäße Überprüfung der E-Mail-Inhaberschaft erzwingt
• Alle Reset-Links ungültig gemacht – alle über den kompromittierten Ablauf generierten Passwort-Reset-Links wurden widerrufen
• Verpflichtende Sicherheitsprüfungen – betroffene Konten müssen Passwörter zurücksetzen und Wiederherstellungsoptionen überprüfen, bevor sie wieder normalen Zugriff erhalten
• Benachrichtigungen an Nutzer – Meta ist dabei, alle betroffenen Kontoinhaber zu informieren
• Plattformübergreifende Überprüfung – eine Analyse ähnlicher KI-gestützter Account-Wiederherstellungsabläufe auf Facebook, Threads und WhatsApp läuft, um analoge Sicherheitslücken zu identifizieren

Meta hat den Vorfall den zuständigen Aufsichtsbehörden gemeldet. Angesichts der DSGVO und der geltenden Datenschutzbestimmungen in der EU und im Vereinigten Königreich sind formelle Meldungen an die Aufsichtsbehörden zu erwarten.

Das größere Problem: KI-Tools als Angriffsfläche

Dieser Vorfall unterstreicht ein Risiko, das Sicherheitsforscher seit Jahren anprangern, das sich nun aber in der Produktion materialisiert: KI-Systeme, die für den direkten Nutzerkontakt eingesetzt werden, sind schwer gegen adversarial Inputs abzusichern. Herkömmliche Software hat deterministische Logik, die sich erschöpfend testen lässt. Ein KI-Support-Tool, das Freitexteingaben verarbeitet, Urteile zur Identitätsprüfung fällt und Randfälle über Modellinferenz behandelt, hat eine grundlegend andere Angriffsfläche.

Prompt Injection – die Einspeisung gezielt formulierter Texteingaben zur Manipulation des KI-Verhaltens – wurde bisher in Forschungsumgebungen und bei weniger kritischen Integrationen demonstriert. Der HTS-Vorfall etabliert sie nun als reale Bedrohung für authentifizierungskritische Systeme im großen Maßstab.

Für Sicherheitsteams, die KI-gestützte Support-, Identitätsprüfungs- oder Zugriffskontrollabläufe evaluieren: Verlassen Sie sich niemals allein auf das Urteil einer KI bei Account-Wiederherstellungsentscheidungen. Deterministische Prüfschritte (bestätigte E-Mail-Inhaberschaft, 2FA-Codes, Ausweiskontrollen) sollten obligatorische Hürden sein, die die KI nicht umgehen oder überbrücken kann, unabhängig davon, was das Modell aus Nutzereingaben ableitet.

Was betroffene Nutzer tun sollten

• Wenn Sie eine Benachrichtigung von Meta erhalten haben, befolgen Sie deren Anweisungen, um Ihr Passwort zurückzusetzen und verbundene Apps zu überprüfen
• Aktivieren Sie sofort die Zwei-Faktor-Authentifizierung, falls noch nicht geschehen – verwenden Sie eine Authenticator-App, nicht SMS
• Überprüfen Sie die aktiven Sitzungen Ihres Kontos und widerrufen Sie nicht erkannte Geräte
• Stellen Sie sicher, dass die mit Ihrem Konto verknüpfte E-Mail und Telefonnummer noch Ihnen gehören
• Wenn Sie glauben, dass Ihr Konto ohne Ihre Zustimmung verkauft oder übertragen wurde, melden Sie dies direkt im Meta-Hilfebereich und, falls erforderlich, Ihrer örtlichen Datenschutzbehörde