KI-Panne bei Instagram: Support-Chatbot hilft bei Passwort-Reset für fremde Konten

Angreifern ist es offenbar gelungen, über den KI-basierten Support-Chatbot von Meta in Instagram-Konten fremder Nutzer einzudringen. Das berichten Onlinemedien wie Techcrunch(öffnet im neuen Fenster) und 404 Media(öffnet im neuen Fenster) unter Verweis auf Nutzerbeschwerden im Netz. Auch prominente Accounts wie etwa ein seit 2017 inaktives Konto des ehemaligen US-Präsidenten Barack Obama sollen betroffen sein.

Wie der Angriff funktioniert, ist in einem auf X kursierenden Videoclip(öffnet im neuen Fenster) zu sehen. Eine Identifikationsprüfung findet dabei nicht statt. Der Angreifer täuscht zunächst mittels VPN vor, sich in der Nähe der Heimatregion der Zielperson aufzuhalten. Dadurch sollen sich automatische Kontoschutzmaßnahmen von Instagram umgehen lassen.

Danach öffnet der Angreifer einen Chat mit dem Meta-AI-Supportassistenten und bittet diesen, dem Konto der Zielperson eine neue E-Mail-Adresse hinzuzufügen. Die neue Adresse wird daraufhin mit einem Bestätigungscode verifiziert. Danach lässt sich über die neue E-Mail-Adresse das Passwort zurücksetzen, womit der Angreifer das Zielkonto vollständig übernimmt.

Wie viele Instagram-Accounts durch den geschilderten Angriff bereits gekapert wurden, ist unklar. Auf Plattformen wie X(öffnet im neuen Fenster) und Reddit(öffnet im neuen Fenster) sind allerdings zahlreiche Hinweise auf eine umfangreiche Ausnutzung dieses Angriffsvektors zu finden. Und auch in einschlägigen Telegram-Gruppen wird wohl ausgiebig über das Thema diskutiert.

Wie einige(öffnet im neuen Fenster) Betroffene berichten(öffnet im neuen Fenster), soll auch eine aktive Zwei-Faktor-Authentifizierung (2FA) nicht schützen, da Metas Support-Chatbot diese wohl auf Anweisung eines Angreifers deaktivieren kann. Im Netz kursiert allerdings auch ein Screenshot(öffnet im neuen Fenster) von einer Unterhaltung eines Betroffenen mit einem Meta-Supportmitarbeiter, wo letzterer behauptet, der Angriff sei mit aktiver 2FA nicht möglich.

Laut Meta-Pressesprecher Andy Stone(öffnet im neuen Fenster) soll das Problem inzwischen behoben sein. Zudem arbeite Meta daran, betroffene Instagram-Konten zu sichern, so Stone. Die Sicherheitsexperten von VX-Underground schrieben allerdings später auf X(öffnet im neuen Fenster), dass das Problem noch nicht gänzlich behoben sei, da wohl weiterhin Instagram-Konten gekapert würden.