Im Quellenvergleich
Worin die Quellen übereinstimmen
Hacker haben den KI-gestützten Support-Chatbot von Meta ausgenutzt, um Instagram-Konten zu übernehmen. Sie baten den Chatbot, die hinterlegte E-Mail-Adresse des Zielkontos zu ändern, und erhielten so einen Passwort-Reset-Link. Betroffen waren unter anderem das Obama-White-House-Konto, der Account der US Space Force und der von Sephora. Meta bestätigte den Vorfall und gab an, das Problem behoben zu haben. Die Quellen berichten weitgehend übereinstimmend, weichen aber in Details ab.
Worin sie sich unterscheiden
Anzahl der betroffenen KontenDie Zahl der betroffenen Konten ist unklar.- Rund 20.000 Accounts waren betroffen.1
- Bis zu 20.225 Konten wurden kompromittiert.2
Rolle der Zwei-Faktor-AuthentifizierungDie Angreifer umgingen die Zwei-Faktor-Authentifizierung.21 Zusätzliche Methode zur Umgehung der IdentitätsprüfungDie Angreifer täuschten per VPN den Standort des Opfers vor.- Die Hacker umgingen Metas automatisierte Identitätsprüfung zusätzlich, indem sie öffentliche Instagram-Fotos durch KI-Videogeneratoren jagten und so realistische Selfie-Clips erzeugten.2
Reaktion von Meta auf die VorwürfeMeta bestätigte die Sicherheitslücke und gab an, sie behoben zu haben.- Meta spielte am Abend des 29. Mai einen Notfall-Hotfix aus.2
- Meta deaktivierte den Chatbot, entfernte den fehlerhaften Code und erklärte alle über das System generierten Links für ungültig.3
- Meta äußerte sich nicht zu den Vorwürfen.4
Zeitraum der AngriffeDie Methode funktionierte bereits seit Monaten.52- Die Angriffe liefen von etwa Mitte April bis Ende Mai.3
Zugriff auf Daten nach der Übernahme- Die Angreifer konnten auf alle Daten zugreifen, inklusive Geburtsdatum, Nachrichten und verknüpfter Facebook-Accounts.1
- Meta gibt an, nicht zu wissen, welche Daten tatsächlich eingesehen wurden. Möglicherweise betroffen sind Kontaktinformationen, Geburtsdaten, Posts und Direktnachrichten.3