Eine Sicherheitslücke in Metas KI-Supportsystem ermöglichte Angreifern die Übernahme von über 20.000 Instagram-Profilen – darunter prominente Regierungs- und Unternehmenskonten.
Der Konzern meldete den Vorfall am heutigen Montag der Datenschutzbehörde des US-Bundesstaates Maine. Betroffen sind hochrangige Regierungsstellen, Konzerne und Einzelpersonen. Die Angreifer nutzten eine Schwachstelle im sogenannten „High Touch Support“ (HTS)-Tool aus – einer KI-gestützten Funktion zur Account-Wiederherstellung.
Der aktuelle Vorfall bei Meta verdeutlicht, wie neue Technologien auch völlig neue Einfallstore für komplexe Cyberangriffe öffnen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer im Zeitalter von KI jetzt kennen müssen. Kostenlosen Cyber-Security-Report jetzt herunterladen
Wie die Angreifer die KI austricksten
Sicherheitsexperten zufolge verwendeten die Täter eine Prompt-Injection-Technik. Dabei manipulierten sie den Chatbot so, dass dieser Passwortzurücksetzungen durchführte – ohne die übliche Identitätsprüfung oder Zwei-Faktor-Authentifizierung (2FA). Die Angreifer leiteten die Zurücksetzungslinks einfach auf E-Mail-Adressen um, die nie mit den Zielkonten verknüpft waren.
Besonders verwundbar waren Profile, bei denen 2FA deaktiviert war. Im Zuge der Kompromittierung gelangten die Täter an Direktnachrichten, private Beiträge, Kontaktdaten und Geburtsdaten.
Prominente Opfer im Visier
In der Meldung an die Behörde in Maine listet Meta rund 20.225 potenziell betroffene Konten auf. Zu den Zielen gehörten sogenannte „High-Value“-Accounts – darunter das offizielle Profil des Obama White House, der US Space Force und des Beauty-Konzerns Sephora.
Auch Einzelpersonen waren betroffen, etwa die Sicherheitsforscherin und ehemalige Meta-Mitarbeiterin Jane Wong. Sie berichtete von mehreren unautorisierten Versuchen, ihr Passwort zurückzusetzen. Die Angreifer nutzten offenbar VPNs, um ihre Standorte zu verschleiern.
Entdeckung Ende Mai – erste Angriffe schon im April
Meta entdeckte den Fehler am 31. Mai 2026. Forensische Untersuchungen zeigen jedoch, dass die erste Ausnutzung bereits am 17. April 2026 stattfindet. Nach der Entdeckung deaktivierte der Konzern das HTS-Tool umgehend und machte alle über das System generierten Zurücksetzungslinks ungültig.
Betroffene Nutzer mussten Sicherheitschecks durchlaufen und ihre Passwörter zurücksetzen. Das Tool bleibt laut Meta offline, bis ein dauerhafter Fix implementiert und eine breitere Überprüfung ähnlicher automatisierter Systeme abgeschlossen ist.
Sicherheitslücken in KI-Systemen können für Unternehmen nicht nur technische, sondern auch massive rechtliche Konsequenzen nach dem neuen EU AI Act haben. Dieser Gratis-Download hilft Compliance-Verantwortlichen, Bußgelder zu vermeiden und alle relevanten Übergangsfristen einzuhalten. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern
Börse reagiert – und neue Sicherheitsfragen tauchen auf
Die Enthüllung kommt zu einem heiklen Zeitpunkt: Meta investiert massiv in Künstliche Intelligenz – bis zu 145 Milliarden Euro sind für die KI-Infrastruktur eingeplant. Nach Bekanntwerden der Sicherheitslücke fiel der Aktienkurs des Konzerns um über fünf Prozent.
Der Vorfall lenkt den Blick zudem auf weitere potenzielle Schwachstellen. Forscher des „International Cyber Digest“ behaupten, ein separater Designfehler in der Account-Wiederherstellungsfunktion von Instagram erlaube es Angreifern, mit lediglich einem Benutzernamen die E-Mail-Adresse und Telefonnummer des Kontos einzusehen. Sie demonstrierten dies an Daten von Prominenten wie Kylian Mbappé und Georgina Rodríguez.
Branchenbeobachter betonen, dass der Vorfall die wachsenden Risiken der Automatisierung sicherheitskritischer Verwaltungsaufgaben verdeutlicht – ohne ausreichende Validierungs- und Kontrollmechanismen.
