Instagram hat bestritten, dass seine Systeme kompromittiert wurden, nachdem Nutzer unerwartete E-Mails zum Zurücksetzen des Passworts erhalten hatten. Die Nachrichten, die offenbar legitime Benachrichtigungen zur Kontowiederherstellung waren, weckten Bedenken, dass Kontoinformationen kompromittiert worden sein könnten. Instagram gab an, dass die Aktivität mit einem technischen Problem zusammenhängt, das den Passwort-Zurücksetzungsprozess betrifft, und nicht mit unbefugtem Zugriff auf interne Systeme.
Nutzer berichteten, dass sie Passwort-Zurücksetzungs-E-Mails erhielten, die sie nicht angefordert hatten, in manchen Fällen mehrfach innerhalb kurzer Zeit. Die Benachrichtigungen wurden über Instagrams Standard-Wiederherstellungs-Workflow gesendet, der dazu dient, Kontoinhabern den Zugriff zurückzugewinnen, falls sie ihr Passwort vergessen. Instagram gab an, dass die E-Mails von einer externen Partei ausgelöst wurden, aber das bedeutete nicht, dass Konten kompromittiert oder Passwörter offengelegt wurden.
Laut dem Unternehmen betraf der Vorfall ein Problem, das es ermöglichte, Passwort-Zurücksetzungsnachrichten ohne erfolgreiche Anmeldung oder Kontokompromittierung zu erstellen. Instagram sagte, es habe das Problem behoben und das normale Verhalten der Reset-Funktion wiederhergestellt. Das Unternehmen riet den Nutzern, Reset-E-Mails, die sie nicht initiiert haben, zu ignorieren und keine Interaktionen mit verdächtigen Nachrichten zu haben.
Die Berichte entstanden parallel zu Behauptungen, dass ein großer Datensatz, der mit Instagram-Konten verbunden ist, in Cyberkriminalitätsbereichen beworben werde. Solche Einträge behaupten typischerweise, dass persönliche Informationen erlangt wurden und zum Verkauf oder zur Verbreitung verfügbar sind. Meta, die Muttergesellschaft von Instagram, erklärte, dass es keine Beweise für einen neuen Datenverstoß im Zusammenhang mit der zurückgesetzten E-Mail-Aktivität gefunden habe und bestätigte, dass die beiden Probleme nicht zusammenhängen.
Obwohl Instagram angab, dass seine internen Systeme nicht gehackt wurden, können unerwartete Passwort-Zurücksetzungs-E-Mails weiterhin Sicherheitsrisiken für Nutzer darstellen. Cybersicherheitsspezialisten weisen darauf hin, dass Angreifer automatisierte Anfragen nutzen können, um wiederholte Rücksetzbenachrichtigungen zu generieren, entweder um Nutzer zu belästigen oder um die Wahrscheinlichkeit zu erhöhen, dass jemand auf einen Link in einer Nachricht klickt, ohne ihn zu überprüfen. Wiederholte Wiederherstellungsversuche können ebenfalls verwirrend sein, insbesondere wenn Nutzer glauben, ihr Konto sei direkt angegriffen.
Sicherheitsforscher haben außerdem gewarnt, dass Nachrichten zur Kontowiederherstellung häufig bei Phishing-Versuchen verwendet werden. Betrügerische E-Mails können legitime Rücksetzbenachrichtigungen nachahmen und Nutzer auf gefälschte Anmeldeseiten leiten, die darauf ausgelegt sind, Zugangsdaten zu erfassen. Selbst wenn eine Zurücksetzungs-E-Mail echt ist, wird den Nutzern geraten, ihr Konto über die offizielle Instagram-App oder -Website zu nutzen, anstatt auf Links aus unerwarteten Nachrichten zu klicken.
Instagram hat Nutzer ermutigt, die Sicherheitseinstellungen für Accounts vorsorglich zu überprüfen. Empfohlene Schritte umfassen die Verwendung eines starken und einzigartigen Passworts, die Aktivierung der Multi-Faktor-Authentifizierung sowie das Überprüfen unbekannter Anmeldeaktivitäten. Nutzer werden außerdem gebeten, zu bestätigen, ob die mit ihrem Konto verknüpfte E-Mail-Adresse und Telefonnummer korrekt sind, da diese Daten zur Wiederherstellung und Überprüfung verwendet werden.
Meta hat den Nutzern zuvor geraten, unerwünschte Sicherheitsnachrichten als Warnsignal zu behandeln und Anmeldedaten nicht über Drittanbieter-Seiten weiterzugeben. Das Unternehmen hat außerdem empfohlen, dass Nutzer verdächtige E-Mails und Nachrichten, wo möglich, über Plattformtools melden.
Instagram teilte mit, dass das Problem mit dem Passwort-Zurücksetzen gelöst wurde. Der Vorfall verdeutlicht, wie Änderungen oder Schwächen in Kontowiederherstellungssystemen zu weitverbreiteter Besorgnis führen können, insbesondere wenn sie mit separaten Berichten über geleakte Daten zusammenfallen, die online kursieren.