Als es vor wenigen Tagen Hackern gelang, das Instagram-Profil von Sängerin Selena Gomez zu kapern, wurde die Öffentlichkeit schnell auf den Vorgang aufmerksam: Die Angreifer posteten mehrere Nacktbilder von Gomez' Freund Justin Bieber, woraufhin das Konto dann zeitweise deaktiviert wurde. Hierbei wurde auch ein schwerwiegender Fehler in einer Programmierschnittstelle ausgemacht, der unmittelbar behoben wurde.
Allerdings hatte die Hacker-Gruppe DoxAGram Team die Schwachstelle vorher noch schnell genutzt, um Daten von zahlreichen Instagram-Nutzern abzuleiten. Zunächst wurde davon ausgegangen, dass nur verifizierte Instagram-Konten und Prominente ins Visier genommen worden waren. Das war jedoch nicht alles. Denn nun stehen die Telefonnummern und Email-Adressen von mehreren Millionen Nutzern im Netz.
Sowohl im Web als auch im Darknet haben die Hacker eine bequem durchsuchbare Datenbank namens Doxagram eröffnet. Für 10 US-Dollar in Botcoin kann zumindest ein breiter Querschnitt der angeblich „6 Millionen gehackten Accounts“ gezielt nach Nutzern und deren Kontaktdaten durchstöbert werden. Darunter finden sich auch die Einträge von Jennifer Lopez, Cristiano Ronaldo und Dan Scavino, dem Social-Media-Beauftragten des Weißen Haus, der das offizielle Instagram-Profil des US-Präsidenten betreut. The Daily Beast konnte einige der Informationen als authentisch oder zumindest glaubhaft verifizieren.
Auf Darknet-Markplätzen werden zudem gebündelte Pakete mit mehreren Tausend Telefonnummern und Email-Adressen aus dem Hack angeboten. Wie die britische IT-Sicherheitsfirma RepKnight angibt, werden aber auch einzelne Kontaktinformationen von Prominenten wie Emma Watson, Britney Spears, Channing Tatum, Lady Gaga, Leonardo DiCaprio, Katy Perry und Taylor Swift gehandelt.
Die Hacker teilen via Email und in Foren mit, dass „Instagram das volle Ausmaß des Bug nicht verstanden“ habe. Wie ein Mitglied von DoxAGram Team unter anderem ArsTechnica erklärte, hätten auch zahlreiche andere Gruppen oder einzelne Hacker die Lücke gesondert nutzen können – und das wohl auch getan. Denn der API-Bug sei in einschlägigen IRC-Chats debattiert worden. Die 6 Millionen gestohlenen Accounts seien zudem das Resultat von lediglich 12 Stunden Arbeit gewesen – danach sei das weitere Ableiten der Daten durch das Schließen der Lücke verhindert worden.
Instagram selbst hat sich derweil zum Hack geäußert und eingestanden, dass nach „weiteren Analysen“ festgestellt worden wäre, dass auch „einige nicht-verifizierte Accounts“ betroffen sind. Aber dabei handle es sich nur um einen „kleinen Prozentsatz“ der rund 700 Millionen Instagram-Nutzer. Wie Instagram-Chef Mike Krieger zudem beruhigte, sind keine Passwörter gestohlen worden.
Dennoch rät die Facebook-Tochter zu Vorsicht. Die Nutzer sollten ihren Account im Auge behalten, merkwürdige Aktivitäten melden und bei Anrufen, Emails oder SMS aus unbekannten Quellen vorsichtig sein. Tatsächlich können die mutmaßlich Betroffenen sonst nicht viel tun – wenn sie nicht ihre Email-Adresse oder Telefonnummer ändern wollen.
