Ein Fehler in der API von Instagram hat schwerwiegendere Folgen als anfangs angenommen. Millionen Kontaktdaten der Nutzer der Foto-Plattform waren öffentlich und offenbar haben Hacker diesen Anlass dazu genommen, die Infos einzusammeln. Wie lange der Fehler bestanden hatte, ist unklar. Entdeckt wurde dieser als auf dem Instagram-Profil von Selena Gomez Nacktbilder von Justin Bieber gepostet wurden. Anfangs richtete die Foto-Plattform aus, dass nur Daten von wenigen Promis gestohlen wurden – mittlerweile hat man die Angabe deutlich nach oben korrigiert.

Kontaktdaten von zahlreichen Promis

Kurz nachdem der Fehler öffentlich gemacht wurde, fand sich im Netz eine Plattform namens Doxagram. Kriminelle hatten eine Datenbank mit den gestohlenen Infos eingerichtet und verlangten zehn Dollar für eine Suche nach einer bestimmten Person. Laut Instagram sollen insgesamt sechs Millionen Accounts betroffen sein, dies behaupten zumindest Hacker. Auf Doxagram waren lediglich 1.000 Nutzerdaten zu finden – ohne Passwort. Die Plattform ist mittlerweile offline, wie The Verge berichtet. Zuvor waren dort etliche Kontaktdaten von Promis wie Emma Watson, Snoop Dogg, Zinedine Zidane und Leonardo DiCaprio zu finden.

Social-Engineering als große Gefahr

Diese werden wohl ihre E-Mail-Adresse und Telefonnummer wechseln müssen. Problematisch an dem Hack ist allerdings, dass diese mittels Social Engineering genutzt werden können, um Zugriff auf das eigentliche Konto zu erlangen. Dies war wohl bei Selena Gomez der Fall. Natürlich besteht die Gefahr auch für Nicht-Promis – eine Möglichkeit hier einzulenken ist es, die Zwei-Faktor-Authentifizierung zu aktivieren. Dabei muss der Nutzer mittels per SMS übermittelten Code die Anmeldung auf einem neuen Gerät bestätigen.

Stellungnahme des technischen Chefs

Mike Krieger, technischer Chef bei Instagram, schreibt in einem Blog-Post ferner, dass man nicht genau wisse, welche Accounts betroffen sind. Zudem könnte man auch nicht abschätzen, wie viele Nutzer nun wirklich betroffen sind. Man gehe allerdings davon aus, dass die Kontaktdaten von einem geringen Prozentsatz der User entwendet wurden. Der Dienst soll laut Krieger bereits mit den Behörden zusammenarbeiten, um einen Verkauf der Nutzerdaten zu unterbinden. "Die Sicherheit unsere Community ist uns sehr wichtig, uns tut es wirklich leid, dass das passiert ist", schreibt Krieger zuletzt. (red, 03.09.2017)