Metas KI-Support half Hackern in Instagram-Konten – auch in das Obamas

Metas KI-Chatbot sollte Instagram-Nutzern helfen – stattdessen lieferte er monatelang Accounts an Hacker aus. Mit VPN und simplen Befehlen ließen sich fremde Profile übernehmen.

Im März 2026 rollte Meta einen KI-Support für Facebook und Instagram aus. Die Idee: automatisierte Hilfe bei Passwort-Resets und Account-Einstellungen, verfügbar rund um die Uhr.

Doch was als Service-Innovation verkauft wurde, entpuppte sich als Sicherheitsdesaster. Monatelang nutzten Hacker den Chatbot als Einfallstor, um fremde Instagram-Konten zu kapern – darunter hochkarätige Profile wie das alte Konto des Weißen Hauses unter Barack Obama.

VPN und drei Sätze reichten aus

Die Methode war erschreckend simpel, wie t3n berichtet. Hacker täuschten per VPN den ungefähren Standort des Ziel-Accounts vor, starteten einen Chat mit Metas KI-Support und forderten die Änderung der E-Mail-Adresse an.

Statt die Anfrage abzulehnen, schickte die KI einen Verifizierungscode an die neue Adresse. Nach Eingabe des Codes folgte der Passwort-Reset – und damit voller Zugriff auf das fremde Profil. Die App-Forscherin Jane Manchun Wong bestätigte auf X, dass ihr Account auf diese Weise kompromittiert wurde.

Update 2: My Instagram password got changed again today without my knowledge https://t.co/vmf5DkKYfs pic.twitter.com/BTrp0pMPn9

— Jane Manchun Wong (@wongmjane) June 2, 2026

Telegram als Marktplatz für gestohlene Accounts

In Telegram-Gruppen von Sicherheitsforschern und Hackern kursierte die Methode bereits seit Ende März 2026. Dort wurden Listen mit lukrativen Instagram-Profilen gehandelt – bevorzugt Accounts mit kurzen Usernamen oder populären Begriffen.

Ein Telegram-Nutzer schrieb unverblümt: „Schickt mir einfach den Usernamen und den Preis. Ich kaufe die, die mir gefallen.“ Das US-Techmagazin 404 Media machte den Exploit öffentlich und dokumentierte Videos, die den Angriff in Echtzeit zeigen.

Meta reagiert – aber erst nach Monaten

Erst nach der Veröffentlichung durch 404 Media bestätigte Meta das Problem. Ein Konzernsprecher versicherte auf X, dass die Sicherheitslücke geschlossen sei und betroffene Accounts wiederhergestellt würden.

In den Telegram-Gruppen beschwerten sich Hacker zeitgleich darüber, dass die Methode nicht mehr funktioniere. Wie viele Accounts tatsächlich übernommen wurden, bleibt unklar – Meta schweigt zu konkreten Zahlen.

Business Punk Check

Metas KI-Support-Desaster entlarvt die Schattenseite der Automatisierungs-Euphorie. Der Konzern wollte Kosten sparen und rollte einen Chatbot aus, der sensible Account-Funktionen ohne ausreichende Sicherheitsprüfungen ausführte. Das Ergebnis: Monate, in denen Hacker mit VPN und drei Sätzen fremde Profile übernahmen. Dass hochkarätige Accounts wie das alte Obama-Konto kompromittiert wurden, zeigt die Dimension des Versagens.

Die eigentliche Frage lautet: Warum dauerte es Monate, bis Meta reagierte? Die Methode kursierte seit Ende März 2026 in Telegram-Gruppen – öffentlich einsehbar für jeden, der hinschauen wollte. Erst die Veröffentlichung durch 404 Media zwang den Konzern zum Handeln.

KI-gestützte Automatisierung ist kein Selbstzweck. Wer kritische Prozesse wie Account-Verwaltung an Chatbots delegiert, braucht mehrschichtige Authentifizierung, Anomalie-Erkennung und menschliche Eskalationsstufen. Metas Fehler war nicht die KI selbst, sondern das Fehlen dieser Absicherungen. Die Lektion: Automatisierung ohne Security-First-Mentalität ist ein offenes Scheunentor.

Häufig gestellte Fragen

Wie konnten Hacker Metas KI-Support für Account-Übernahmen nutzen?

Hacker täuschten per VPN den Standort des Ziel-Accounts vor und forderten Metas KI-Chatbot auf, die E-Mail-Adresse zu ändern. Die KI führte die Anfrage ohne zusätzliche Sicherheitsprüfung aus und verschickte einen Verifizierungscode an die neue Adresse. Nach dem Passwort-Reset hatten die Angreifer vollen Zugriff auf das fremde Instagram-Profil.

Welche Instagram-Accounts waren besonders gefährdet?

Besonders begehrt waren Accounts mit kurzen Usernamen oder populären Begriffen, da diese auf dem Schwarzmarkt hohe Preise erzielen. In Telegram-Gruppen wurden Listen mit solchen Profilen gehandelt. Auch hochkarätige Accounts wie das alte Konto des Weißen Hauses unter Barack Obama wurden kompromittiert.

Hat Meta das Sicherheitsproblem inzwischen behoben?

Laut *Heise* bestätigte Meta nach der Veröffentlichung durch 404 Media, dass die Sicherheitslücke geschlossen wurde. In Hacker-Gruppen auf Telegram beschwerten sich Nutzer zeitgleich, dass die Methode nicht mehr funktioniere. Meta will betroffenen Nutzern nun dabei helfen, wieder Zugang zu ihren Profilen zu erlangen.

Warum ist die Auslagerung von Support an KI so riskant?

KI-Systeme folgen Anweisungen ohne menschliches Urteilsvermögen. Wenn Sicherheitsmechanismen fehlen oder unzureichend sind, führen sie auch schädliche Anfragen aus. Der Meta-Fall zeigt, dass automatisierter Support ohne robuste Authentifizierung zum Einfallstor für Angreifer wird – besonders bei sensiblen Funktionen wie Passwort-Resets.

Wie können Nutzer ihre Instagram-Accounts besser schützen?

Zwei-Faktor-Authentifizierung ist Pflicht, idealerweise über eine Authenticator-App statt SMS. Regelmäßige Überprüfung der verknüpften E-Mail-Adressen und Login-Aktivitäten hilft, verdächtige Zugriffe frühzeitig zu erkennen. Bei ungewöhnlichen Aktivitäten sollte das Passwort sofort geändert und Meta kontaktiert werden.

Quellen: t3n, Heise, 404media