Anfang Juni 2026 wurde bekannt, dass Angreifer den KI-Support-Chatbot von Meta genutzt haben, um in hochrangige Instagram-Profile einzubrechen. Die Methode war erschreckend unkompliziert.
Die Angreifer eröffneten ein normales Gespräch mit dem Support-Chatbot und wiesen ihn an, einen Ziel-Nutzernamen mit einer neuen, von ihnen kontrollierten E-Mail-Adresse zu verknüpfen. Da das System nicht in der Lage war, die Legitimität der Anfrage zu prüfen, kam der Chatbot der Anweisung nach. Er schickte einen Bestätigungscode direkt an die E-Mail-Adresse des Angreifers, woraufhin dieser einen Link zum Zurücksetzen des Passworts erhielt und die vollständige Kontrolle über das Konto übernahm.
Zu den betroffenen Konten gehörten laut Berichten das archivierte Instagram-Konto der Obama-Administration (@obamawhitehouse), die offizielle Seite des Kosmetikkonzerns Sephora sowie das Konto des Chief Master Sergeant der US Space Force.
Automatisierter Support ohne Identitätsprüfung
Im März hatte Meta angekündigt, KI-Support auf alle Facebook- und Instagram-Konten auszuweiten, inklusive der Möglichkeit, Passwörter zurückzusetzen und andere kritische Kontoverwaltungsfunktionen durchzuführen. Für diese Aufgaben gab es zuvor menschliche Support-Mitarbeiter. Mit dem Wechsel auf ein vollständig automatisiertes System entfiel auch die menschliche Einschätzung, ob eine Anfrage plausibel ist.
Das grundlegende Problem ist, dass moderne KI-Modelle Schwierigkeiten haben, zwischen einer Anweisung und Benutzerdaten zu unterscheiden. Sicherheitsforscher vergleichen das mit SQL-Injection: Auch dort wurden Datenbanken dazu gebracht, schadhaften Code als reguläre Eingabe auszuführen. Bei großen Sprachmodellen ist dieses Problem bisher architektonisch nicht gelöst, weil Anweisung und Eingabe im selben Kontext verarbeitet werden.
Nutzer, deren Konten gestohlen wurden, berichten außerdem, dass es keinen Weg gibt, das Problem an einen menschlichen Mitarbeiter weiterzuleiten. Wer sein Konto verliert, dreht sich im Kreis.
Metas Reaktion
Meta-Kommunikationschef Andy Stone erklärte, das Problem sei inzwischen behoben und das Unternehmen habe sichergestellt, dass die KI-Support-Systeme nicht weiter auf diese Weise ausgenutzt werden können. Über die genauen technischen Maßnahmen ist bisher nichts bekannt.
Empfehlungen für Betroffene und Vorsorge
Wer ein Instagram-Konto betreibt, sollte die Zwei-Faktor-Authentifizierung aktivieren und die hinterlegte E-Mail-Adresse aktuell halten. Besonders gefährdet sind inaktive Konten, die seit Jahren ohne Überwachung existieren. Aber auch aktive Konten waren betroffen, was zeigt, dass die Lücke keine Frage der Kontopflege war, sondern ein grundsätzliches Versagen in der Architektur des KI-Support-Systems.
Dieser Vorfall zeigt, was passiert, wenn Unternehmen kritische Sicherheitsfunktionen vollständig an automatisierte Systeme übergeben, ohne dass diese Systeme in der Lage sind, die Berechtigung einer Anfrage zu beurteilen. KI kann viele Aufgaben im Support übernehmen, aber Kontoänderungen, Passwort-Resets und ähnliche Eingriffe gehören zu den Bereichen, bei denen ein menschlicher Kontrollschritt dringend erforderlich bleibt.
Und es zeigt ein weiteres Mal, was passieren kann, wenn große Plattformen sicherheitsrelevante Funktionen an stochastische Papageien auslagern. Umso problematischer ist das, da es bekanntermaßen bei den großen US-Tech-Plattformen beinahe unmöglich ist, echten Support zu erreichen. Nutzer, deren Konten gestohlen wurden, berichten, dass es keinen Weg gibt, das Problem an einen menschlichen Mitarbeiter weiterzuleiten. Wer sein Konto verliert, dreht sich im Kreis. Und Firmen kann man nur davor warnen, sich solchen Unsinn von den großen KI-Dienstleistern aufschwatzen zu lassen, sei es um Geld oder Personal zu sparen – solche KI-Fehler können teuer werden.
Quellen: 404 Media (01.06.2026) · Vertex Cyber Security (04.06.2026) · Social Media Today (02.06.2026)