Die Hacker hatten es vor allem auf Daten von Instagram-Promis abgesehen. Nach Informationen von Kaspersky nutzten sie für den Angriff auf die Konten eine alte Instagram-App mit Sicherheitslücken.

Nach Informationen von Kaspersky haben Hacker die Instagram Mobile Version 8.5.1, die seit 2016 im Umlauf ist, genutzt, um Kontodaten von Instagram-Nutzern auszuspionieren. Die Angreifer nutzen dabei eine Schwachstelle der Passwort-Zurücksetzen-Funktion aus.

Über einen Web-Proxy haben sie eine Anforderung abgefangen, dann ihr Opfer ausgewählt und anschließend eine Anfrage an den Instagram-Server mit Benutzernamen der jeweiligen Person gesendet. Der Server hat daraufhin eine JSON-Antwort (JavaScript Object Notation) mit den persönlichen Informationen des Opfers zurückgeliefert. Diese enthält auch Daten, die nicht an die Öffentlichkeit gelangen sollten. Dazu gehören auch Informationen wie E-Mail-Adresse und Telefonnummer.

Instagram hat reagiert und die Lücke geschlossen. Gegenüber dem Branchenblatt Variety sagte ein Instagram-Sprecher: „Wir haben vor kurzem herausgefunden, dass eine oder mehrere Personen unrechtmäßigen Zugriff auf die Kontaktinformationen einer Reihe von hochkarätigen Instagram-Benutzern erhalten haben – insbesondere E-Mail-Adressen und Telefonnummern, indem sie einen Fehler in einer Instagram-API ausnutzten”.

Passwörter wurden nach Angaben von Instagram nicht erbeutet. Der Hack habe sich eindeutig gegen Promis gerichtet, die auf der Plattform aktiv sind. Welche Konten angegriffen wurden, verriet Instagram nicht.

HIGHLIGHT Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel. ... zum Artikel.

Die Erbeutung der E-Mail-Adressen und Telefonnummern könnte nun Phishing-Attacken nach sich ziehen. Die Angriffe sind sehr arbeitsintensiv: Jeder einzelne muss manuell ausgeführt werden, weil sich der Vorgang aufgrund von Sicherheitsmaßnahmen von Instagram nicht automatisieren lässt. Die Hacker wurden in einem Underground-Forum des Dark-Net entdeckt, als sie die persönlichen Anmeldeinformationen von Promis verkaufen wollten.

Zuletzt gab es zahlreiche aufsehenerregende Hacks von Benutzerdaten. So wurden durch ein Datenleck bei LinkedIn 117 Millionen Zugangsdaten erbeutet. Hacker verlangten für das Paket lediglich 2.200 US-Dollar.

Yahoo wurden die Daten von mindestens 500 Millionen Nutzerkonten gestohlen. Das Unternehmen nimmt zudem an, dass die Täter Unterstützung von staatlicher Seite hatten. Zu den Daten, die bei dem Angriff entwendet wurden, gehören Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und gehashte Passwörter.

Das Gefahrenpotential durch erbeutete Kontodaten können Nutzer minimieren, indem sie eine Zwei-Faktor-Authentifizierung aktivieren. Das verhindert zwar nicht den Datenklau bei Internetdiensten, verhindert aber zumindest die Nutzung der erbeuteten Zugangsdaten. Ob die eigenen Zugangsdaten kompromittiert wurden, kann man beim Hasso-Plattner-Institut überprüfen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.