Hacker nutzten Metas KI-Support-Chatbot, um Instagram-Konten zu kapern
Übernahmen von Instagram-Konten im Zusammenhang mit dem Meta-KI-Support-Bot
Hacker haben Metas KI-gestützten Support-Chatbot ausgenutzt, um auf Instagram-Konten zuzugreifen. Das offenbart eine neue Angriffsart, bei der ein automatisierter Assistent als Bestandteil des Eindringpfads verwendet wird.
Instagram sagte am Montag, das Sicherheitsproblem behoben zu haben, nachdem mehrere Nutzer berichtet hatten, ihre Konten seien am Wochenende kompromittiert worden. Beiträge auf Reddit und X beschrieben ähnliche Übernahmen, und zu den betroffenen Accounts gehörte der Instagram-Handle des Weißen Hauses aus der Obama-Ära, der seit 2017 offenbar inaktiv ist, sowie der Account des Chief Master Sergeant der U.S. Space Force, John Bentivegna.
Die Sicherheitsforscherin Jane Wong sagte, ihr Account sei ebenfalls übernommen worden. „Das Passwort wurde ohne mein Wissen geändert und ich erhielt den ganzen gestrigen Tag über verschiedene Versuche zum Zurücksetzen des Passworts“, sagte Wong. „Ziemlich besorgniserregend.“
Ein auf X gepostetes Video scheint die in den Angriffen verwendete Methode zu zeigen. Laut dem Video nutzte der Hacker zunächst ein VPN, um den mutmaßlichen Standort des Ziels zu fälschen, offenbar um die automatischen Schutzmechanismen von Instagram nicht auszulösen. Der Angreifer öffnete dann einen Chat mit dem Meta-KI-Support-Assistenten und bat den Bot, dem Konto des Opfers eine neue E‑Mail-Adresse hinzuzufügen.
Der Chatbot soll daraufhin einen Bestätigungscode an die E‑Mail-Adresse des Angreifers gesendet haben, den dieser dann an den Bot zurückmeldete. Diese Interaktion veranlasste den Chatbot offenbar dazu, einen „Passwort zurücksetzen“-Button anzuzeigen, woraufhin der Angreifer ein neues Passwort eingab und das Konto übernahm.
TechCrunch konnte verifizieren, dass der öffentliche E‑Mail-Posteingang des Hackers, der im Video gezeigt wurde, den Bestätigungscode erhielt. Für den Angriff war es nicht erforderlich, dass der Hacker die legitime E‑Mail-Adresse kontrolliert, die mit dem Instagram-Konto des Opfers verknüpft ist, wodurch der Übernahmeweg ungewöhnlich direkt war.
Instagram-Sprecher Andy Stone sagte am Montag als Antwort auf Wong und andere, das Problem sei behoben worden. Es ist weiterhin unklar, wie viele Nutzer betroffen waren. Meta reagierte nicht sofort auf TechCrunchs Bitte um Stellungnahme.
Quellen:
Lesen Sie mehr Tech-News auf dem Doppler VPN Blog.