Instagram erklärte, dass es keine Datenschutzverletzung gegeben habe, obwohl einige Nutzer Aufforderungen zum Zurücksetzen ihrer Passwörter erhalten hatten, die Anlass zur Besorgnis gaben. Die Erklärung folgte auf einen Beitrag des Antivirensoftware-Unternehmens Malwarebytes auf Bluesky, der einen Screenshot einer Instagram-E-Mail enthielt, die einen Nutzer über eine Anfrage zum Zurücksetzen des Passworts informierte.

Malwarebytes behauptete, dass Cyberkriminelle sensible Informationen von 17,5 Millionen Instagram-Konten gestohlen hätten, darunter Benutzernamen, physische Adressen, Telefonnummern und E-Mail-Adressen. Das Unternehmen behauptete ferner, dass diese Daten im Dark Web verkauft würden und von Cyberkriminellen ausgenutzt werden könnten.

Als Reaktion darauf postete Instagram auf X, dass es ein Problem behoben habe, das es einer externen Partei ermöglichte, E-Mails zum Zurücksetzen des Passworts für einige Nutzer anzufordern. Das Unternehmen gab keine Details über die externe Partei oder die genaue Art des Problems bekannt. Der Beitrag von Instagram schloss mit dem Hinweis, die E-Mails zu ignorieren, und entschuldigte sich für jegliche Verwirrung.

Der Vorfall unterstreicht die anhaltende Bedrohung durch Credential Stuffing, eine Art Cyberangriff, bei dem Angreifer Listen von Benutzernamen und Passwörtern verwenden, die aus früheren Verstößen stammen, um zu versuchen, sich Zugriff auf Benutzerkonten auf anderen Plattformen zu verschaffen. Während Instagram beteuert, dass keine Datenschutzverletzung stattgefunden hat, wirft die Möglichkeit einer externen Partei, E-Mails zum Zurücksetzen des Passworts auszulösen, Fragen zu den Sicherheitsprotokollen der Plattform und dem Potenzial für böswillige Akteure, Nutzer ins Visier zu nehmen, auf.

Passwort-Reset-Mechanismen sind eine kritische Komponente der Kontosicherheit und sollen es Nutzern ermöglichen, wieder Zugriff auf ihre Konten zu erhalten, wenn sie ihre Passwörter vergessen. Wenn diese Mechanismen jedoch nicht ordnungsgemäß gesichert sind, können sie von Angreifern ausgenutzt werden, um sich unbefugten Zugriff auf Konten zu verschaffen.

Die Reaktion von Instagram auf den Vorfall wurde von einigen Sicherheitsexperten wegen mangelnder Transparenz kritisiert. Das Versäumnis des Unternehmens, Einzelheiten über das Problem oder die beteiligte externe Partei zu nennen, hat Spekulationen und Unsicherheit unter den Nutzern geschürt.

Das Unternehmen hat noch keine konkreten Schritte angekündigt, die es unternimmt, um ähnliche Vorfälle in Zukunft zu verhindern. Nutzern wird empfohlen, die Zwei-Faktor-Authentifizierung auf ihren Instagram-Konten zu aktivieren und bei verdächtigen E-Mails oder Nachrichten vorsichtig zu sein.