News vom 05.09.2017

Instagram-Hack

Ein Artikel von , veröffentlicht am 05.09.2017

Daten von möglicherweise sechs Millionen Instagram-Konten sind an Hacker gelangt, die sie im Netz zum Kauf anbieten. Anders als vermutet, sind nicht nur Profile von Prominenten betroffen, sondern auch die von normalen Nutzerinnen und Nutzern.

Wie viel Konten es genau getroffen hat, könne man nicht sagen, heißt es in einer Mitteilung des Instagram-Technikchefs im offiziellen Blog des Unternehmens. Die Zahl der Opfer bewege sich allerdings nur im Bereich eines „niedrigen Prozentwertes“. Und es seien ausschließlich die hinterlegen E-Mail-Adressen und Telefonnummern betroffen, jedoch keine Passwörter oder sonstige Daten.

Für die Attacke verantwortlich ist eine Hackergruppe, die unter dem Namen DoxAGram auftritt. Die Gruppe hatte der Redaktion des US-Magazins "The Daily Beast" eine Probe von 1.000 Datensätzen zugespielt. Die Gruppe selbst behauptet, sechs Millionen Profile erbeutet zu haben, die sie nun im Internet vermarktet.

In der Kostprobe fanden die Mitarbeiter von "The Daily Beast" Daten von Prominenten, wie dem Fußballer Christiano Ronaldo oder dem US-amerikanischen Präsidenten, aber auch von „gewöhnliche" Konten. Die von den Hackern angegebene Zahl von sechs Millionen konnten sie weder verifizieren noch widerlegen.

Möglich wurde der Datenklau durch eine Sicherheitslücke in der Reset-Funktion der Instagram-App. Mit der Funktion kann ein Passwort zurückgesetzt werden. Instagram hat die Sicherheitslücke mittlerweile geschlossen.

Zehn Dollar für Account-Details

Die Kriminellen bieten die Daten auf mehreren Webseiten mit komfortabler Such- und Shop-Funktion zum Kauf an. Jeder Datensatz kostet zehn US-Dollar. Zahlungsmittel ist die besonders anonyme Digitalwährung Bitcoin.

Eine der Webseiten, auf der die Hacker die Daten verkauften, wurde mittlerweile aus dem Netz entfernt. Zur Zeit befindet sich die Datenbank aber noch auf einer Webseite mit der Internet-Endung .su - die noch existierende Endung der ehemaligen Sowjetunion. Die US-amerikanischen Ermittlungsbehörden haben auf Seiten mit dieser Endung nur schwer Zugriff. Zudem ist die Datenbank auch über eine Adresse im Tor-Darknet aufrufbar.

Was es mit dem Tor-Netzwerk auf sich hat, und warum Seiten dort vor dem Zugriff von Behörden relativ sicher sind, erklären wir im Beitrag Anonym surfen mit Tor.

Obwohl keine Passwörter gestohlen wurden, warnen Expertinnen und Experten, dass die erbeuteten Daten für Social Engineering-Tricks genutzt werden könnten. Mit der korrekten E-Mail-Adresse und Telefonnummer könnten Kriminelle sich zum Beispiel als Bekannte der Opfer ausgeben und so an noch mehr Informationen gelangen, oder sie auf bösartige Links locken.

Ein Trick, bei dem sich Gauner als vermeintliche Freunde auf Facebook ausgeben, haben wir zum Beispiel hier beschrieben: Falsche Freunde und die SMS-TAN.

Das können Sie tun:

Im Blog des Unternehmens verweist der Instagram-Technikchef auf die allgemeinen Sicherheitstipps des Unternehmens. Dazu zählt, ein robustes Passwort zu wählen und dieses regelmäßig zu ändern. Zudem empfiehlt er, die deutlich sicherere Zweifaktor-Authentifizierung zu aktivieren.

Sollten ihnen ungewöhnliche Aktivitäten auffallen, zum Beispiel Anrufe, Textnachrichten oder E-Mails mit unbekanntem Absender, empfiehlt er, dies über die Melde-Funktion innerhalb der App dem Unternehmen mitzuteilen.

 

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

App-Test 

App-Test: Salfeld Kindersicherung

Die Kindersicherungs-App kann dabei helfen, zwischen Eltern und Kind getroffene Absprachen zur Smartphone-Nutzung durchzusetzen. Jedoch erfahren Eltern alles darüber, wie das Kind sein Handy nutzt - und der Anbieter kann theoretisch mitlesen.

Mehr
YouTube-Video 

Drittanbietersperre einrichten – so geht’s

Beim Surfen mit dem Handy ein Werbefenster weggeklickt, und zack - teures Abo abgeschlossen? Wir erklären Ihnen, was Sie jetzt tun können, damit die Kosten überschaubar bleiben. Im Video empfehlen wir außerdem die Einrichtung einer "Drittanbieter-Sperre", die Sie zukünftig vor Betrüger*innen schützt.

Ansehen
Ratgeber 

Android-Apps ersetzen: Cloud-Dienst

Auf den meisten Android-Geräten sind die kostenlosen Cloud-Dienste Google Drive oder Dropbox vorinstalliert. Wenn Sie dort Inhalte speichern, können Google und Dropbox theoretisch alles mitlesen. Wir empfehlen sichere Alternativen.

Mehr
Ratgeber 

Partnerschaftsgewalt: Das Handy als Spion

Wenn es in Beziehungen zu Gewalt kommt, spielt das Smartphone häufig eine Rolle. Viele Apps und Systemfunktionen lassen Überwachung zu. Doch man kann sich schützen.

Mehr