Instagram-Datenleck: Millionen Konten in Have-I-Been-Pwned erfasst
Ein umfangreicher Datensatz mit Informationen von Millionen Instagram-Nutzerinnen und -Nutzern ist in der Datenbank des Projekts Have I Been Pwned aufgetaucht. Die Daten stammen aus einem mutmaßlichen Scraping-Vorgang über öffentlich erreichbare Schnittstellen von Instagram und wurden zuvor in Untergrundforen angeboten.
Öffentlich zugängliche Profildaten massenhaft gesammelt
Nach Angaben von Troy Hunt, dem Betreiber von Have I Been Pwned, wurde ein Datensatz mit insgesamt rund 17 Millionen Einträgen angeboten. Davon enthalten etwa 6,2 Millionen Datensätze eine E-Mail-Adresse, teilweise ergänzt durch Telefonnummern. Die Daten sollen aus dem Jahr 2024 stammen und umfassen unter anderem:
-
Benutzernamen und Anzeigenamen
-
Konto-IDs
-
teilweise Standortangaben
-
E-Mail-Adressen und vereinzelt Telefonnummern
Es gibt keine Hinweise darauf, dass Passwörter oder direkte Zugangsdaten kompromittiert wurden. Die Informationen wurden offenbar automatisiert über Programmierschnittstellen gesammelt und anschließend weiterverbreitet.
Parallel berichten viele Nutzer von unerwarteten Passwort-Zurücksetzungs-E-Mails. Instagram selbst bestreitet einen Datenabfluss aus den eigenen Systemen und erklärt, dass solche E-Mails auch ohne Sicherheitsvorfall ausgelöst werden können. Betroffene sollen diese Nachrichten ignorieren, sofern sie keine Zurücksetzung selbst angestoßen haben.
Welche Gefahren drohen Nutzern?
Auch ohne kompromittierte Passwörter sind die veröffentlichten Daten nicht harmlos. Besonders relevant sind folgende Risiken:
-
Gezielte Phishing-Angriffe:
Mit echten Nutzernamen und E-Mail-Adressen lassen sich täuschend echte Nachrichten erstellen, die vorgeben, von Instagram zu stammen. Diese wirken besonders glaubwürdig und können zur Preisgabe weiterer Daten verleiten. -
Identitätsmissbrauch:
Kriminelle können Fake-Profile erstellen, die echte Konten nachahmen, um Kontakte anzuschreiben oder betrügerische Inhalte zu verbreiten.
Eigene Betroffenheit prüfen
Nutzerinnen und Nutzer können auf der Webseite von Have-I-Been-Pwned überprüfen, ob ihre E-Mail-Adresse in bekannten Datenlecks enthalten ist. Ein ähnliches Angebot stellt auch der Identity Leak Checker des Hasso-Plattner-Instituts bereit.
Auch wenn es sich überwiegend um öffentlich zugängliche Informationen handelt, zeigt der Vorfall erneut, wie leicht sich scheinbar harmlose Profildaten in großem Umfang sammeln und missbrauchen lassen.
- Passwort ändern und absichern: Verwenden Sie ein starkes, einzigartiges Passwort für Instagram und aktivieren Sie die Zwei-Faktor-Authentifizierung, um Ihr Konto zusätzlich zu schützen.
- Vorsicht bei Nachrichten: Reagieren Sie nicht auf unerwartete Passwort- oder Sicherheitsmails und klicken Sie keine Links an – prüfen Sie Kontohinweise ausschließlich direkt in der Instagram-App oder auf der offiziellen Website.
- Kontoaktivitäten überprüfen: Kontrollieren Sie regelmäßig die Login-Aktivität und entfernen Sie unbekannte Geräte oder Sitzungen, um unbefugte Zugriffe frühzeitig zu erkennen.