20.000 Konten kompromittiert: Meta bestätigt Angriff auf Instagram-Accounts

Meta hat weitere Details zu dem in der vergangenen Woche bekannt gewordenen Angriff auf Instagram veröffentlicht. Demnach sollen mehr als 20.000 Nutzerkonten kompromittiert worden sein. Die Angreifer konnten über das Kontowiederherstellungssystem „High Touch Support“ (HTS) neue Passwörter für die betroffenen Accounts erlangen.

Dadurch erhielten die Angreifer nicht nur Zugriff auf sensible Daten der Kontoinhaber, sondern konnten diese durch die Änderung von E-Mail-Adresse und Passwort auch vollständig aus ihren Konten aussperren. Nach Bekanntwerden des Vorfalls deaktivierte Meta das betroffene System und leitete Sicherheitsmaßnahmen für die betroffenen Accounts ein.

Helfer wurde zum Komplizen

Der Vorfall geht auf eine Schwachstelle in Metas KI-gestütztem Supportsystem HTS zurück, das Nutzern eigentlich dabei helfen soll, den Zugang zu gesperrten Instagram-Konten wiederherzustellen. Die Angreifer machten sich zunutze, dass das System offenbar nicht ausreichend überprüfte, ob die bei einer Kontowiederherstellung angegebene E-Mail-Adresse tatsächlich mit dem betroffenen Instagram-Konto verknüpft war. Dadurch konnten Passwort-Reset-Links erzeugt werden, die den Zugriff auf fremde Konten ermöglichten. Besonders gefährdet waren Nutzer, die keine Zwei-Faktor-Authentifizierung aktiviert hatten.

Sicherheitslücke blieb mehrere Wochen unentdeckt

Laut einer am 5. Juni 2026 bei der Generalstaatsanwaltschaft des US-Bundesstaates Maine eingereichten Datenschutzmeldung, über die Bleeping Computer berichtet, wurde die Sicherheitslücke bereits am 31. Mai 2026 entdeckt. Als Datum des eigentlichen Sicherheitsvorfalls wird dort der 17. April 2026 genannt. Das deutet darauf hin, dass die Angriffe bereits mehrere Wochen vor ihrer Entdeckung begonnen haben könnten. Meta zufolge sollen dabei mehr als 20.000 Instagram-Konten betroffen sein. Unklar ist bislang jedoch, welche Daten tatsächlich abgegriffen wurden. Theoretisch hätten die Angreifer Zugriff auf eine Vielzahl sensibler Informationen erhalten können, darunter E-Mail-Adressen und Telefonnummern, Geburtsdaten, Profilinformationen, Fotos, Videos, Direktnachrichten sowie Aktivitäten und Interaktionsverläufe innerhalb der Plattform. Auch mit Instagram verknüpfte Konten oder externe Dienste könnten betroffen gewesen sein.

Als erste Reaktion auf den Vorfall schaltete Meta das HTS-System vollständig ab und erklärte sämtliche darüber erzeugten Passwort-Reset-Links für ungültig. Gleichzeitig wurden potenziell kompromittierte Konten in einen verpflichtenden Sicherheitsprozess überführt. Betroffene Nutzer müssen dabei ihre Passwörter erneut ändern und ihre Identität verifizieren, um die Kontrolle über ihre Konten zurückzuerlangen.

System soll erst nach Korrekturen wieder ans Netz

Meta will zudem künftig sicherstellen, dass E-Mail-Adressen zuverlässig mit den jeweiligen Kontoinformationen abgeglichen werden. Erst nach diesen und weiteren Anpassungen soll das System wieder in Betrieb genommen werden. Darüber hinaus überprüft das Unternehmen nach eigenen Angaben vergleichbare Wiederherstellungsprozesse auf anderen Plattformen des Konzerns.

Es bleibt zudem abzuwarten, welche datenschutzrechtlichen Konsequenzen der Vorfall noch für Meta nach sich ziehen wird. Auch Strafzahlungen können derzeit nicht ausgeschlossen werden.