Hacker bieten Instagram-Daten zum Verkauf an

Nachdem vergangene Woche bekannt wurde, dass Hacker über eine fehlerhafte Schnittstelle einer älteren Instagram-App persönliche Informationen von Nutzern des sozialen Netzwerks erbeutet haben, bieten sie diese nun zum Verkauf an.

Angeblich soll es sich dabei um 6 Millionen Datensätze handeln. Darin enthalten sind nach Angaben der Hacker auch E-Mail-Adressen und Telefonnummern der Nutzer. Wie üblich sind auch Prominente von dem Datenklau betroffen. Als Beispiele nennen die Cyberkriminelle, die sich Doxagram nennen, Selena Gomez und Justin Bieber. Von Letzterem sind vergangene Woche auch Nacktbilder unter dem Konto von Selena Gomez veröffentlicht worden. Diese stehen aber nicht in Verbindung mit dem Hack.

Das Portal The Daily Beast hat von den Hackern etwas 1000 Datensätze zur Überprüfung erhalten. Demnach sind die Daten echt.

Wie der Instagram-Hack funktionierte

Nach Informationen von Kaspersky haben die Hacker die Instagram Mobile Version 8.5.1, die seit 2016 im Umlauf ist, genutzt, um Kontodaten von Instagram-Nutzern auszuspionieren. Die Angreifer nutzten dabei eine Schwachstelle der Passwort-Zurücksetzen-Funktion aus.

Über einen Web-Proxy haben sie eine Anforderung abgefangen, dann ihr Opfer ausgewählt und anschließend eine Anfrage an den Instagram-Server mit Benutzernamen der jeweiligen Person gesendet. Der Server hat daraufhin eine JSON-Antwort (JavaScript Object Notation) mit den persönlichen Informationen des Opfers zurückgeliefert. Diese enthält auch Daten, die nicht an die Öffentlichkeit gelangen sollten. Dazu gehören auch Informationen wie E-Mail-Adresse und Telefonnummer.

Instagram hat reagiert und die Lücke geschlossen. Inzwischen nennt es auch Einzelheiten auf seiner Webseite. „Wir haben den Fehler schnell behoben und mit der Strafverfolgung zusammengearbeitet. Obwohl wir nicht feststellen können, welche Konten betroffen sind, glauben wir, dass es sich um einen geringen Prozentsatz der Instagram-Konten handelt.“

Datenklau auch bei anderen Diensten

Zuletzt gab es zahlreiche aufsehenerregende Hacks von Benutzerdaten. So wurden durch ein Datenleck bei LinkedIn 117 Millionen Zugangsdaten erbeutet. Hacker verlangten für das Paket lediglich 2.200 US-Dollar.

Yahoo wurden die Daten von mindestens 500 Millionen Nutzerkonten gestohlen. Das Unternehmen nimmt zudem an, dass die Täter Unterstützung von staatlicher Seite hatten. Zu den Daten, die bei dem Angriff entwendet wurden, gehören Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und gehashte Passwörter.

Das Gefahrenpotential durch erbeutete Kontodaten können Nutzer minimieren, indem sie eine Zwei-Faktor-Authentifizierung aktivieren. Das verhindert zwar nicht den Datenklau bei Internetdiensten, verhindert aber zumindest die Nutzung der erbeuteten Zugangsdaten. Ob die eigenen Zugangsdaten kompromittiert wurden, kann man beim Hasso-Plattner-Institut überprüfen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.