Zuckerberg und Mbappé betroffenSchon wieder eine schwere Datenpanne bei Instagram
Über eine Schwachstelle ist es vorübergehend möglich, mit Instagram-Konten verknüpfte Telefonnummern und E-Mail-Adressen abzurufen, wenn man einen Nutzernamen eingibt. Angeblich werden auch Daten von Meta-Chef Zuckerberg und Kylian Mbappé abgegriffen. Es ist die zweite schwere Instagram-Panne innerhalb einer Woche.
Instagram hat offensichtlich große Probleme, seine Funktion zum Zurücksetzen von Passwörtern im Griff zu behalten. Nachdem erst vergangene Woche bekannt wurde, dass Metas KI-Bot Hackern auf Anfrage half, Nutzerkonten des sozialen Netzwerks zu kapern, wird jetzt eine weitere schwere Panne in diesem Bereich bekannt. Und erneut müssen Angreifer alles andere als raffiniert vorgehen, um höchst sensible Daten abzugreifen.
Benutzernamen genügt
Laut "Cyber Security News" genügte es, bei der Instagram-Anmeldung einen Benutzernamen einzugeben und dann auf "Passwort vergessen" zu klicken, um mit einem Instagram-Konto verknüpfte Telefonnummern und E-Mail-Adressen sehen zu können. Eigentlich werden dann teilweise unkenntlich gemachte Wiederherstellungsoptionen angezeigt, wie man es auch von anderen Diensten kennt, beispielsweise M*******n@gmail.com. Durch den Fehler seien die E-Mail-Adressen und Telefonnummern nicht maskiert angezeigt worden, so "Cyber Security News".
Immerhin hat Meta schnell reagiert und nach wenigen Stunden den Fehler korrigiert. Doch bis dahin wurden bereits etliche Nutzerdaten über die Schwachstelle abgerufen, auch die von bekannten Persönlichkeiten. Prominentestes Opfer ist offenbar der Meta-Chef höchstpersönlich, denn ein Nutzer veröffentlichte auf X einen Screenshot der die unmaskierten Wiederherstellungsoptionen von Mark Zuckerberg (zuck) in der Instagram-Kontowiederherstellung zeigen soll.
"Sicherheit bei Meta ein absoluter Zirkus"
@Scot0xo schreib dazu bissig: "Meta stolpert von einer Sicherheitsspanne zur nächsten. Vor wenigen Stunden tauchte ein neuer Logikfehler im Web-Reset-Prozess auf, durch den sensible Kontodaten offengelegt wurden, bevor ein Notfall-Hotfix installiert wurde. Das passiert, wenn man die Experten entlässt und sich beim Betrieb der Kerninfrastruktur auf eine hirnlose KI verlässt. Die Sicherheit bei Meta ist ein absoluter Zirkus."
"Golem" verlinkt auf einen X-Post von "International Cyber Digest", der einen entsprechenden Screenshot mit Wiederherstellungsoptionen des französischen Fußball-Superstars Kylian Mbappé zeigen soll. Ein weiterer Post zeigt angeblich die Daten von Georgina Rodriguez, Ehefrau von Portugals Fußball-Ikone Cristiano Ronaldo. Sie hat demnach unter anderem auch ein Konto bei der Wein-App Vivino. "Ich dachte, ihr Mann und sie befürworten nur, Wasser zu trinken", kommentiert der Verfasser.
Meta bestätigte das Problem und dessen Behebung. Eine Sicherheitslücke habe es im System aber nicht gegeben. Technisch ist das wohl richtig. Es handelte sich laut @Scot0xo um einen Fehler im Ablauf des Prozesses zur Zurücksetzung des Kontos beziehungsweise Passworts. Es wurden also keine geheimen Zugangsdaten (API-Schlüssel) gestohlen und auch keine Sicherheitslücke auf dem Server ausgenutzt.