WTF: Metas KI-Chatbot half beim Knacken zehntausender Instagram-Accounts

Ein Support-Chatbot sollte Instagram-Nutzern helfen, wieder Zugriff auf ihre Accounts zu bekommen – tat aber genau das Gegenteil. Er ermöglichte jedem den Zugriff auf schlecht gesicherte Instagram-Accounts, wie das Unternehmen jetzt bekannt gab. Rund 20.000 Accounts sind demnach betroffen. Gefährdet war grundsätzlich jeder Account, der keine Zwei-Faktor-Authentifizierung aktiviert hatte.

Angreifer hatten dadurch Zugriff auf alle in den Accounts hinterlegten Informationen, wie Geburtsdatum, persönliche Nachrichten, Bilder und Co. Auch der Zugriff auf verknüpfte andere Meta-Accounts, etwa bei Facebook, war möglich.

Chatbot öffnet die Tür zu fremden Accounts

Wie das ging, zeigt ein Video auf X. Der Angreifer mit Kenntnis des Instagram-Nutzernamens der Zielperson gibt im Login-Menü der Instagram-App den Nutzernamen ein und klickt den Button zum Zurücksetzen des Passworts an. Wie im Video zu sehen ist, war die einzige weitere Voraussetzung eine VPN-Verbindung über die ungefähre geografische Region der Zielperson, um bei Meta kein Misstrauen zu wecken.

Im weiteren Verlauf bietet die App an, einen Code zum Zurücksetzen des Passworts an die hinterlegte Mailadresse zu senden. Stattdessen klickt der Angreifer aber oben links auf „Get support“, um zu Metas besagtem KI-Chatbot zu gelangen. Diesen fordert er nun auf, den Code zum Zurücksetzen an eine neue Mailadresse zu schicken, um diese gleich mit „seinem“ Konto – beziehungsweise dem der Zielperson – zu verknüpfen. Prompt tut der Chatbot wie ihm geheißen, der Angreifer sendet wiederum den erhaltenen Code an den Chatbot und kann im weiteren Verlauf das Passwort des Accounts ändern, um darauf Zugriff zu erhalten.