Auf den Punkt: Hacker kaperten Instagram-Profile durch Prompt Injection gegen Metas KI-Support-System und überlisteten Deepfake-generierte Videos die automatisierte Identitätsprüfung.
Hacker haben Instagram-Profile durch gezielte Manipulation von Metas KI-gestütztem Support-System und gefälschte Identitätsprüfvideos übernommen. Die Angreifer nutzten Prompt-Injection-Techniken gegen das interne Sprachmodell und generierte Deepfake-Selfies, um automatisierte Sicherheitsmechanismen auszuhebeln.
Eine koordinierte Angriffswelle zielt auf seltene Instagram-Benutzernamen und hochrangige Regierungskonten ab. Die Opfer umfassen OG-Handles (extrem kurze Benutzernamen), die auf dem Schwarzmarkt Werte im sechsstelligen Bereich erzielen, sowie offizielle Profile wie das des Chief Master Sergeant der US Space Force John F. Bentivegna und ein historisches Regierungskonto aus der Obama-Ära. Die IT-Sicherheitsforscherin Jane Manchun Wong bestätigte einen vorübergehenden Zugriffsverlust und berichtete von unbefugten Passwortänderungen und wiederholten Abmeldungen. Die kaperten Konten werden laut Angaben unmittelbar nach dem Zugriff auf verschlüsselten Telegram-Kanälen zum Verkauf angeboten.
Das Angriffsverfahren kombiniert zwei Angriffsvektoren: Erstens nutzten die Hacker eine Schwachstelle im Large Language Model, das Meta für die Bearbeitung von Support-Anfragen einsetzt. Durch Prompt Injection – gezielte Texteingaben zur Manipulation der internen Sicherheitsanweisungen – überwiesen sie dem KI-System manipulative Befehle. Dieses System verfügt über erweiterte Rechte zur Passwortänderung, Verwaltung von E-Mail-Verknüpfungen und eigenständigen Identitätsvalidierung. Die Angreifer führten damit einen Confused-Deputy-Angriff durch, bei dem ein vertrauenswürdiges System mit privilegierten Rechten zur Ausführung nicht autorisierter Aktionen bewogen wird. Da Sprachmodelle auf semantischem Verständnis basieren, nicht auf klassischen Code-Schnittstellen, entzieht sich die Manipulation weitgehend automatisierten Filtersystemen.
Für die zweite Stufe des Angriffs setzten die Hacker generative KI-Videowerkzeuge ein. Metas automatisierte Kontowiederherstellung erfordert üblicherweise das Hochladen eines Selfie-Videos mit vordefinierten Kopfbewegungen. Die Angreifer beschafften sich öffentlich zugängliche Proträtfotos von den Zielkonten und wandelten diese mittels KI-Videogeneratoren in täuschend echte, animierte Videosequenzen um. Zusätzlich konfigurierten sie ihre virtuellen privaten Netzwerke so, dass die IP-Adressen mit den geografischen Standorten übereinstimmten, die die Opfer in ihren Profilen hinterlegt hatten. Das automatisierte Prüfsystem stufte die Deepfakes als legitim ein.
Für CISOs bedeutet dieser Angriff eine doppelte Warnung: Die Abhängigkeit von Large Language Models in sicherheitskritischen Workflows – besonders bei Authentifizierung und Kontosteuerung – erfordert spezialisierte Verteidigungsmechanismen gegen Prompt-Injection-Techniken. Gleichzeitig zeigt sich, dass biometrische Sicherungsmechanismen wie Video-Selfies durch hochentwickelte Deepfake-Technologie gefährdet sind. Die Kombination beider Angriffsvektoren hebt eine kritische Governance-Lücke hervor: automatisierte Support-Systeme sollten nicht über direkte Berechtigungen zur Kontowiederherstellung verfügen, sondern zur Eskalation an authentifizierte Mitarbeiter verpflichtet sein.
Quelle: www.it-daily.net · Erschienen 2. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.