Die Sicherheitslücke dürfte weit schwerwiegendere Auswirkungen haben, als ursprünglich angenommen. Durch einen Bug in der API konnten Angreifer Telefonnummern und E-Mail-Adressen von verifizierten Instagram-Accounts abgreifen. Jene werden zumeist von Prominenten und Unternehmen genutzt. Zwar wurde die Lücke rasch geschlossen, Angreifern dürfte es aber dennoch gelungen sein, eine große Anzahl an Informationen zu kopieren.
Millionen Instagram-Accounts betroffen
Wie The Verge berichtet, sollen die Daten von sechs Millionen Accounts abgegriffen worden sein, die nun im Netz zum Kauf angeboten werden. Als Beweis veröffentlichten die Hacker eine Datenbank, mit der die Informationen von 1000 Accounts durchsucht und abgerufen werden können. Laut einem Bericht bei The Daily Beast fanden sich darunter auch ein Großteil der 50 populärsten Instagram-Accounts. Diese Datenbank wurde mittlerweile offline genommen.
Daten von Hollywood-Prominenz und Musikern
Laut der Cybersecurity-Firma RepKnight werden aber immer noch Daten von zahlreichen Schauspielern, Musikern und Sportlern zum Kauf angeboten, darunter Leonardo DiCaprio, Emma Watson, Lady Gaga, Britney Spears und Floyd Mayweather. Erst kürzlich wurde die Sängerin Selena Gomez Opfer eines Hacks ihres Instagram Accounts. Ob jener mit dem Datendiebstahl in Zusammenhang steht, ist allerdings nicht bekannt, scheint aber wahrscheinlich.
Mike Krieger, Instagram Mitbegründer und CTO hielt in einem Blogpost fest, dass keine Passwörter unter den geleakten Informationen sind. Demnach sei nur „ein kleiner Prozentsatz“ der 700 Millionen Instagram-Accounts betroffen gewesen.
Instagram-Sprecher nimmt Stellung
In einem Statement eines Instagram-Sprechers heißt es dazu: „Vor einigen Tagen haben wir verifizierte Instagrammer darauf aufmerksam gemacht, dass eine oder mehr Menschen unrechtmäßigen Zugang zu ihren Kontaktinformationen bekommen haben könnten – zu E-Mail-Adressen und Telefonnummer – indem sie einen Bug in der API-Schnittstelle genutzt haben, der nun behoben wurde.
Nach weiteren Analysen haben wir festgestellt, dass dieses Problem möglicherweise auch nicht-verifizierte Accounts betroffen haben könnte. Auch wenn wir nicht feststellen können, welche konkreten Accounts betroffen sein könnten gehen wir davon aus, dass dies ein niedriger Prozentsatz von Instagram-Accounts war. Wir möchten betonen, dass in diesem Zusammenhang keine Passwörter veröffentlicht wurden.
Wir wissen außerdem, dass einige Personen versucht haben, die Kontaktdaten, an die sie gelangt sind, zu verkaufen. Die Sicherheit der Menschen ist uns sehr wichtig und wir arbeiten in dieser Angelegenheit eng mit Strafverfolgungsbehörden zusammen. Wir fordern die Menschen dazu auf, aufmerksam bezüglich der Sicherheit ihres Accounts zu sein und vorsichtig zu sein, wenn ihnen verdächtige Aktivitäten, wie anonyme Telefonanrufe, Nachrichten und E-Mails, auffallen.
Die Sicherheit unserer Community ist uns sehr wichtig und es tut uns sehr leid, dass dies passiert ist.“