Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News20.000 Konten kompromittiert: Meta bestätigt Angriff auf Instagram-Accounts
Meta hat weitere Details zu dem in der vergangenen Woche bekannt gewordenen Angriff auf Instagram veröffentlicht. Demnach sollen mehr als 20.000 Nutzerkonten kompromittiert worden sein. Die Angreifer konnten über das Kontowiederherstellungssystem „High Touch Support“ (HTS) neue Passwörter für die betroffenen Accounts erlangen.
Das System wurde von Meta deaktiviert? Hmmm, seltsam. Als ich eure erste News dazu laß, wusste ich plötzlich, warum die E-Mail von Insta an meine zusätzlich hinterlegte Sicherheitsadresse kam, die das Rücksetzen meines Passwortes veranlassen wollte. Das habe ich unter der letzten News bereits erwähnt. Da ich Glück hatte und auch das Rücksetzen meines Passwortes bestätigen muss, konnte ich dem Ganzen entgehen.
Nun heißt es, das Meta das System deaktiviert habe. Das wundert mich insofern, dass ich diesen Samstag erneut eine Mail, die das Rücksetzen meines Passwortes veranlassen wollte. Auch diesmal habe ich das direkt wieder verneint und kein Dritter hatte Zugang zu meinem Account. Dennoch, also entweder hat Meta das System erst nach Samstag deaktiviert oder man versucht uns für dumm zu verkaufen.
Wenn du die Mail bekommen hast, steckt da vermutlich etwas anderes dahinter. Der Trick war ja scheinbar, dass man dem Chatbot eine andere Mail-Adresse für den PW-Reset unterjubeln konnte, als die, die im Profil hinterlegt ist. Dass die Mailadressen nicht ordentlich verglichen wurde, ist einfach mega peinlich.
@Cr4y
Die Anfrage ging an meine Sicherheitsadresse, nicht die Standardadresse, die für den Account hinterlegt war. Demnach, selbst wenn sie dem Mailbot eine andere Adresse untergejubelt haben, wurde eine zusätzliche Anfrage an meine Sicherheitsmail geschickt.
In der News steht ja auch:
News schrieb:
[...]Dadurch konnten Passwort-Reset-Links erzeugt werden, die den Zugriff auf fremde Konten ermöglichten. Besonders gefährdet waren Nutzer, die keine Zwei-Faktor-Authentifizierung aktiviert hatten[...]
Den Passwort-Reset-Link können sie ja erzeugt haben, aufgrund der 2FA muss ich das aber über meine zusätzlich hinterlegte Adresse nochmal bestätigen, was ich natürlich nicht getan habe.
Der ganze Vorfall ist peinlich und irgentwie kurios.
Es ist nämlich einfach nicht so schwer den KI Prozess Bombensicher zu machen. Wirklich nicht.
Das Kernproblem liegt eher darin, dass "KI" kein Zaubermittel ist und für customer service nur bedingt geeignet ist. Hier wurde offenbar mit allen Mitteln versucht der "KI" einen nützlichen Einsatzbereich zu schaffen. Das Ergebnis steht in den news
Gut, dass ich Instagram bis Heute nicht gerafft habe. Verstehe gar nicht was da als "Nicht-fluencer" überhaupt der Grund ist es zu nutzen. Bei Twitter habe ich es noch irgendwie verstanden, man "zwitschert" halt seine Meinung über aktuelles Ereignis XY in die Welt und ggf. reagieren Leute darauf. Das war sicher irgendwann mal ganz spaßig aber seit es da praktisch nur noch um Politik geht, wurde es da eigentlich nur noch ätzend und man bekam schlechte Laune von diesen Grabenkämpfen. Wenn ich da nur an Kachelmann denke.. wobei gut, das ist schon fast wieder Realsatire, mit seinen lustigen Meltdowns.
Aber Insta - geht an mir völlig vorbei. Bin aber ohnehin ein virtueller Einsiedler und habe bis auf Whatsapp und Telegram einfach gar nichts. Bis vor kurzem wusste ich auch gar nicht, dass Insta wohl so ziemlich der "Standard" geworden ist.
Für mich ganz logisch.
Du hast eine gigantische Anzahl DAUs denen du den Anmelde- und Registrierprozess so einfach wie möglich machen willst damit maximal viele Nutzer akquiriert werden.
Gleichzeitig vergessen pro Tag wahrscheinlich >10.000 ihr Passwort.
Da könntest du dann einen sechsstelligen Betrag pro Monat für Personalkosten ansetzen, die am Ende sicherlich auch nicht 100% fehlerfrei arbeiten.
Dann doch lieber ein automatisches System.
Zumal, so wie jetzt, auch keine echte Konsequenz zu drohen scheint.
Und wenn du dann doch mal eine Strafe zahlst, ist das immer noch weniger als hunderte Leute für den Support einzustellen.
Kein Mitleid. Und was dort "böse" Menschen finden, ist mir auch egal. Warum? Weil es den Betroffenen auch egal ist und sie sowieso nichts dazulernen (wollen). Die Arroganz der Unwissenheit.
Vielleicht ist es auch 8 stellig. War nur ein uneducated guess.
Am Ende möchte ich damit sagen, dass diese Dinge finanziell durchkalkuliert sind und mangels Konsequenzen einfach das gemacht wird was am wenigsten kostet.
Wem soll es sonst passieren? Dem kleinen Laden um die Ecke? Ja klar, die Hacker haben sicher ein Interesse daran, 5-10 Datensätze zu kompromittieren, anstelle von zehn- bis hunderttausenden oder im schlimmsten Fall sogar millionen. Also wieso immer wieder die selben Firmen betroffen sind, lässt sich nun wirklich mit einfachstem Verstand erklären.
