Hacker nutzten eine Schwachstelle im KI-gestützten Instagram-Wiederherstellungssystem von Meta, um hochkarätige Konten, darunter das archivierte Instagram-Profil des Obama-Weißen Hauses, zu übernehmen, indem sie automatisierte Support-Workflows ausnutzten, die zur Wiederherstellung des Zugriffs auf gesperrte Konten verwendet wurden. Meta hat den Fehler inzwischen behoben und bestätigt, dass betroffene Konten gesichert werden.
Laut researchers mehreren Sicherheitsberichten entdeckten Angreifer, dass sie Metas KI-Support-Assistent manipulieren konnten, um Kontowiederherstellungsdaten zu ändern, ohne die üblichen Verifizierungsprüfungen zu bestehen. In einigen Fällen erlaubte das System angeblich Angreifern, eine neue E-Mail-Adresse an das Instagram-Konto des Opfers zu binden, wodurch ein Weg zum Zurücksetzen von Passwörtern und zur Übernahme von Profilen geschaffen wurde.
Forscher beschrieben das Problem als einen logischen Fehler im automatisierten Wiederherstellungsworkflow von Meta und nicht als eine Verletzung der Authentifizierungsinfrastruktur von Instagram. Angreifer benötigten Berichten zufolge keine Passwörter, keine Malware oder direkten Zugriff auf Meta-Systeme. Stattdessen haben sie Schwächen im KI-gesteuerten Supportprozess selbst ausgenutzt.
Eines der sichtbarsten Opfer war der @obamawhitehouse Instagram-Account, ein archiviertes Profil, das Inhalte der Obama-Regierung bewahrt. Das Konto zeigte kurzzeitig unautorisierte Beiträge an, bevor Meta den Inhalt entfernte und den Zugang wiederherstellte. Berichten zufolge bezogen sich einige der Beiträge auf politische und konfessionelle Themen.
Forscher sagten, dass weitere Zielgruppen Unternehmensmarken, Influencer-Profile, seltene “OG”-Benutzernamen und Geschäftskonten mit großem Publikum umfassten. Online geteilte Videos sollen angeblich gezeigt haben, wie Angreifer den Wiederherstellungsworkflow ausnutzen können, um die Kontrolle über Konten mit wertvollen Benutzernamen zu erlangen.
Ermittler fanden außerdem Hinweise darauf, dass einige Angreifer VPN-Dienste und gefälschte Standortdaten nutzten, um Wiederherstellungsanfragen legitimer erscheinen zu lassen. In bestimmten Fällen akzeptierte der KI-Assistent Berichten zufolge begrenzte Kontoinformationen als ausreichenden Eigentumsnachweis, bevor sensible Kontoänderungen verarbeitet wurden.
Sicherheitsforscher stellten fest, dass der Exploit es Angreifern ermöglichte, einige Zwei-Faktor-Authentifizierungsschutzmaßnahmen zu umgehen, da der Angriff auf den Kontowiederherstellungsprozess und nicht auf das Login-System selbst abzielte. Sobald die Wiederherstellungsinformationen geändert wurden, konnten Angreifer Passwörter zurücksetzen und legitime Nutzer aus ihren Konten sperren.
Meta bestätigte, dass die Schwachstelle behoben wurde, nachdem Berichte über Kontoübernahmen online verbreitet wurden. Das Unternehmen gab an, betroffene Konten zu sichern und das verwundbare Wiederherstellungsverhalten zu deaktivieren, hat jedoch nicht bekannt gegeben, wie viele Nutzer betroffen waren oder wie lange der Fehler aktiv blieb, bevor er gepatcht wurde.