API Leak: Millionen von Instagram-Kundendaten landen im Dark Web

Laut Berichten wurden im November 2024 Daten von rund 17,5 Millionen Instagram-Accounts abgegriffen. Das wird erst jetzt bekannt, da die Daten nun im Dark Web zirkulieren. Neben Namen und E-Mail-Adressen sollen auch Telefonnummern und zumindest teilweise Geodaten zum Datensatz gehören.

Über 17 Millionen Accounts betroffen

Das berichtet Cyber Press und beruft sich auf Hinweise der Sicherheitsfirma Malwarebytes sowie eine Verifizierung der Daten über Postings im Dark Web, die als Screenshots vorliegen. Die von unbekannten Angreifern erbeutete Datensammlung wird dort unter dem Titel „INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK“ feilgeboten. Sie soll 17,5 Millionen Einträge umfassen.

Nachfolgend werden die laut dem Bericht entwendeten Daten der betroffenen Instagram-User-Accounts aufgelistet. Laut der Plattform Have I been Pwned seien von den erbeuteten Account-Daten nur 6,2 Millionen mit einer E-Mail-Adresse verknüpft gewesen und nur „einige“ sollen eine Telefonnummer enthalten.

• Vollständige Namen und Nutzernamen
• Verifizierte E-Mail-Adressen
• Telefonnummern
• Nutzer-IDs
• Länderinformationen und partielle Geodaten

Kein Hack, sondern eine API-Schwachstelle

Der oder die Angreifer behaupten, dass die Daten über eine Schwachstelle in den Programmierschnittstellen (API) des sozialen Netzwerks abgegriffen werden konnten. Um einen Hack soll es sich demnach nicht handeln. Dass Instagram kurz nach dem Bericht über eine Schwachstelle informierte (siehe X-Posting), über die Dritte Passwort-Resets anderer anfordern konnten, habe nach bisheriger Kenntnis nichts mit diesem Vorfall zu tun.

So oder so hätten jüngst zahlreiche Instagram-User darüber geklagt, „eine Flut“ unerwünschter Benachrichtigungen zum Zurücksetzen ihres Passworts erhalten zu haben, berichtet Cyber Press weiter.

Risiken und Lösungen

Zudem genüge die Kombination aus E-Mail-Adressen und Telefonnummern für sogenannte „SIM-Swapping“-Angriffe. Zudem könnten verstärkt Phishing-Mails bei den Betroffenen eintreffen, in denen sich Betrüger etwa als Mitarbeiter des Instagram-Support ausgeben und damit versuchen, Anmeldeinformationen preiszugeben.

„Cybersicherheitsexperten raten allen Instagram-Nutzern dringend, die Multi-Faktor-Authentifizierung (MFA) umgehend per Authentifizierungs-App anstelle von SMS zu aktivieren und unaufgefordert zugesandte E-Mails zum Zurücksetzen des Passworts zu ignorieren“, heißt es abschließend.

Die Redaktion dankt Community-Mitglied „KeinNutzerName“ für den Hinweis.