Hackers hebben in de afgelopen dagen Instagram-accounts overgenomen via Meta AI, de nieuwe chat-assistent van Meta. Zij vroegen in een gesprek met de assistent om een nieuw wachtwoord, waarna de wijziging werd doorgevoerd. Het probleem deed zich voor binnen Instagram, dat eigendom is van Meta, in meerdere landen. De zaak roept vragen op over beveiliging onder de AVG en de Europese AI-verordening voor overheid en bedrijven.
Wachtwoorden via assistent gewijzigd
Meta AI is een generatieve assistent in Instagram die opdrachten in normale taal uitvoert. Gebruikers melden dat aanvallers de bot vroegen om het wachtwoord van een doelaccount te veranderen. De assistent leek die actie zonder voldoende extra controle te starten. Daardoor konden kwaadwillenden het account snel overnemen.
Het is nog onduidelijk hoeveel profielen zijn geraakt en hoe breed de methode werkte. Bij sommige meldingen ging het om accounts met een groot bereik, wat de impact vergroot. Andere meldingen wijzen op doelwitten met zwakke herstelinstellingen. Er is geen uniform patroon bevestigd op het moment van schrijven.
De kern van het probleem ligt bij geautomatiseerde accountacties via een chatinterface. Zoān interface maakt het makkelijk om in Ć©Ć©n stap gevoelige verzoeken te doen. Zonder extra verificatie kunnen normale veiligheidslagen worden omzeild. Dat vergroot het risico op misbruik door sociale-engineering.
Verificatie schoot tekort in ontwerp
Een AI-assistent die namens de gebruiker taken uitvoert, heet vaak een āagentā (een systeem dat handelingen mag doen). Zoān agent moet strikte grenzen hebben, zoals het principe van minimale bevoegdheden. Voor gevoelige acties horen aparte controles te gelden. Denk aan een eenmalige code, bevestiging in de app of een hardware-sleutel.
Bij wachtwoordwijzigingen is meervoudige verificatie cruciaal. Dat kan via tweestapsverificatie (2FA), een aparte inlogbevestiging of een passkey. Als die drempels ontbreken of te soepel zijn, kan een simpel chatbericht te veel macht krijgen. Dan ontstaat een zwakke plek in het aanmeld- en herstelproces.
Ook logging en duidelijke gebruikerswaarschuwingen helpen misbruik te beperken. Een melding āiemand probeert je wachtwoord via de assistent te wijzigenā geeft tijd om in te grijpen. Zonder zoān signaal kan een overname onopgemerkt gaan. Daarna wordt herstel vaak lastiger en trager.
Tweestapsverificatie (2FA) is een extra inlogstap met een code of sleutel, naast je wachtwoord. Dat maakt misbruik van gestolen gegevens veel moeilijker.
AVG en AI-verordening gevolgen
Onder de AVG moeten aanbieders passende technische en organisatorische maatregelen nemen. Onrechtmatige toegang tot een account kan een datalek zijn, omdat privĆ©berichten, contactgegevens en fotoās zichtbaar worden. Organisaties moeten dan intern beoordelen of melding aan de toezichthouder en betrokkenen nodig is. Dit moet binnen 72 uur bij een hoog risico op het moment van schrijven.
De Europese AI-verordening (AI Act) stelt eisen aan aanbieders en gebruikers van generatieve systemen. Voor general-purpose AI, zoals Meta AI, gelden transparantie, documentatie en risicobeperking. Wie een AI-assistent inzet voor accountbeheer, moet extra aandacht geven aan veiligheid en misbruikscenarioās. Dat omvat duidelijke grenzen voor wat de assistent zelfstandig mag aanpassen.
Publieke diensten en overheden die sociale media of chat-assistenten gebruiken, krijgen hiermee praktische gevolgen. Zij moeten toetsen of zulke systemen voldoen aan de AI Act en de AVG. Ook contracten met leveranciers horen afspraken te bevatten over logging, misbruikdetectie en herstel. Dit voorkomt gaten tussen techniek, beleid en verantwoordelijkheid.
Impact voor Nederlandse en EU-gebruikers
Meta rolt Meta AI gefaseerd uit binnen Instagram en andere apps. In de EU verliep de uitrol eerder trager door privacyzorgen van toezichthouders. Nederlandse gebruikers kunnen daardoor verschillende versies en functies zien. Toch werken kernfuncties voor accountbeheer vaak wereldwijd gelijk.
Voor makers, bedrijven en gemeenten met Instagram-accounts vergroot dit het operationele risico. Een overname kan leiden tot nepberichten, merk- of reputatieschade en fraude. Beveiliging moet daarom niet alleen bij het social-team liggen. Ook CISOās en privacyteams horen mee te kijken naar instellingen en toegang.
De Autoriteit Persoonsgegevens kan ingrijpen bij structurele tekortkomingen in beveiliging. Gebruikers die geraakt zijn, hebben rechten op inzage en herstel van gegevens. Platforms moeten herstellen en uitleg geven over wat er is gebeurd. Dat sluit aan bij de plichten uit AVG en, breder, de AI-verordening.
Wat gebruikers nu kunnen doen
Zet 2FA aan in Instagram, bij voorkeur met een authenticator-app of beveiligingssleutel. Activeer ook login-waarschuwingen en controleer herstel-e-mail en -telefoon. Bewaar herstelcodes offline en beveilig eerst je e-mailaccount. Overweeg passkeys als extra laag waar beschikbaar.
Controleer gekoppelde apps en sessies en log uit op onbekende apparaten. Verwijder oude app-koppelingen die je niet meer gebruikt. Pas unieke, sterke wachtwoorden toe met een wachtwoordbeheerder. Wees alert op onverwachte chatberichten over wachtwoorden of codes.
Is je account toch overgenomen, meld dit via het hulpcircuit van Instagram. Gebruik identiteitscontrole en herstelstappen die het platform biedt. Documenteer de tijdlijn voor eventuele meldingen en bewijs. Organisaties moeten intern ook hun incidentproces starten.