Werbung
Ein umfangreiches Datenleck hat die persönlichen Informationen von rund 17,5 Millionen Instagram-Nutzern offengelegt. Die Datensätze kursieren inzwischen in einschlägigen Foren im Darknet und enthalten detaillierte Kontakt- und Profildaten, die sich für gezielte Betrugsversuche nutzen lassen. Sicherheitsforscher bestätigten die Echtheit der angebotenen Informationen anhand von Stichproben.
Die Daten tauchten laut Berichten erstmals Anfang letzter Woche in einem bekannten Hackerforum auf. Ein Anbieter mit dem Alias "Solonik" bot dort ein Paket mit der Bezeichnung "INSTAGRAM.COM 17M GLOBAL USERS - 2024 API LEAK" an. Nach Angaben des Anbieters wurden die Informationen bereits Ende 2024 über eine Programmierschnittstelle (API) gesammelt und in strukturierten JSON- und TXT-Dateien gespeichert. Technisch deutet dies darauf hin, dass automatisierte Abfragen über eine öffentlich erreichbare API möglich waren, ohne dass Schutzmechanismen wie effektives Rate-Limiting oder restriktive Zugriffskontrollen griffen.
Besonders problematisch ist der Umfang der enthaltenen Daten. Neben Benutzernamen und internen Nutzer-IDs umfasst der Datensatz vollständige Namen, verifizierte E-Mail-Adressen, Telefonnummern sowie Länder- und teilweise Standortinformationen. Die strukturierte Aufbereitung erlaubt es Angreifern, einzelne Datensätze leicht zu filtern, zu kombinieren und für weiterführende Angriffe zu nutzen. Passwörter sind nach aktuellem Kenntnisstand nicht enthalten, dennoch reichen die übrigen Informationen aus, um glaubwürdige Identitätsprofile zu erstellen.
Nach der Veröffentlichung der Daten kam es bereits zu ersten Missbrauchsfällen. Einige Nutzer berichteten von einer Häufung automatisierter Passwort-Zurücksetzungsanfragen. In Verbindung mit bekannten E-Mail-Adressen und Telefonnummern lassen sich so Social-Engineering-Angriffe oder SIM-Swapping-Versuche vorbereiten, bei denen Angreifer versuchen, Zugriff auf SMS-basierte Zwei-Faktor-Authentifizierung zu erlangen oder Nutzer zur Preisgabe von Sicherheitscodes zu bewegen.
Technisch wird der Vorfall als großflächiges Scraping eingeordnet und nicht als direkter Einbruch in interne Systeme. Dennoch weist das Ausmaß darauf hin, dass Schnittstellen über längere Zeit hinweg massenhaft abgefragt werden konnten, ohne dass ungewöhnliche Zugriffsmuster erkannt oder blockiert wurden. Solche API-basierten Lecks gelten als besonders schwer zu kontrollieren, da sie vorhandene Funktionen zweckentfremden, statt klassische Sicherheitslücken auszunutzen.
