Instagram erklärte, dass es nicht gehackt worden sei, obwohl einige Nutzer Passwortzurücksetzungsanfragen erhalten hatten, die Anlass zur Sorge gaben. Die Erklärung folgte auf einen Beitrag des Antivirensoftware-Unternehmens Malwarebytes auf Bluesky, der einen Screenshot einer Instagram-E-Mail enthielt, die einen Benutzer über eine Passwortzurücksetzungsanfrage informierte.

Malwarebytes behauptete in seinem Beitrag vom Freitag, dass Cyberkriminelle sensible Informationen von 17,5 Millionen Instagram-Konten gestohlen hätten, darunter Benutzernamen, physische Adressen, Telefonnummern und E-Mail-Adressen. Das Unternehmen behauptete ferner, dass diese Daten im Dark Web zum Verkauf stünden und von Cyberkriminellen ausgenutzt werden könnten.

Als Reaktion darauf postete Instagram auf X, dass es ein Problem behoben habe, das es einer externen Partei ermöglichte, Passwortzurücksetzungs-E-Mails für einige Benutzer anzufordern. Das Unternehmen gab keine Details über die beteiligte externe Partei oder die spezifische Art des Problems bekannt. Der Beitrag von Instagram schloss mit einer Entschuldigung für jegliche Verwirrung und dem Rat an die Benutzer, die verdächtigen E-Mails zu ignorieren.

Die Diskrepanz zwischen der Behauptung von Malwarebytes über einen Datendiebstahl und der Ablehnung einer Sicherheitsverletzung durch Instagram verdeutlicht die Herausforderungen bei der Bewertung und Kommunikation von Cybersicherheitsvorfällen. Eine Passwortzurücksetzungsanfrage bestätigt, auch wenn sie potenziell auf böswillige Aktivitäten hindeutet, nicht automatisch eine Datenschutzverletzung. Cyberkriminelle versuchen oft, sich auf verschiedene Weise unbefugten Zugriff auf Konten zu verschaffen, darunter Phishing, Credential Stuffing (Verwendung bekannter Benutzername/Passwort-Kombinationen aus anderen Sicherheitsverletzungen) und Ausnutzung von Schwachstellen in Software.

Das Fehlen spezifischer Details von Instagram bezüglich der "externen Partei" und des "Problems" wirft Fragen nach dem Umfang und den potenziellen Auswirkungen des Vorfalls auf. Ohne weitere Informationen ist es schwierig, das Risikoniveau für Instagram-Benutzer einzuschätzen.

Die Entscheidung von Instagram, das Problem auf X anzusprechen, anstatt auf der eigenen Plattform oder auf Threads, erregte ebenfalls Aufmerksamkeit. Diese Wahl mag eine Strategie widerspiegeln, um schnell ein breiteres Publikum zu erreichen, wirft aber auch Fragen nach den Kommunikationsprioritäten des Unternehmens während eines potenziellen Sicherheitsvorfalls auf.

Benutzern, die unerwartete Passwortzurücksetzungsanfragen erhalten haben, wird empfohlen, die Zwei-Faktor-Authentifizierung auf ihren Instagram-Konten zu aktivieren und sich vor Phishing-Versuchen in Acht zu nehmen. Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, indem sie zusätzlich zum Passwort einen Verifizierungscode vom Gerät des Benutzers anfordert.

Instagram hat noch keine weiteren Schritte zur Untersuchung des Vorfalls oder zur Verhinderung ähnlicher Ereignisse in der Zukunft angekündigt. Die Reaktion des Unternehmens auf diesen Vorfall wird wahrscheinlich von Cybersicherheitsexperten und Benutzern gleichermaßen genau beobachtet werden.