vandread
Lt. Commander
- Registriert
- Nov. 2004
- Beiträge
- 1.372
Hallo zusammen,
ich habe heute eine etwas eigenartige Erfahrung mit Instagram gemacht. Gleich vorneweg, ich bin bin nur mit den Basics von Instagram vertraut und nutze es gezwungenermaßen nur um in Kontakt zu bleiben. Ich habe für Instagram selber ein "starkes" kryptisches Passwort und dazu auch noch die aktivierte 2FA über SMS (Backup-Codes sind auch vorhanden).
Es fing damit an, dass ich habe von Facebook (ist ja im Besitz von Instagram) eine SMS erhalten habe mit dem Inhalt: "XXXXXX ist dein privater Instagram-Code. Bitte gib ihn nicht weiter" (das war um 11:19 Uhr). Darauf hin habe ich dann mein Mailpostfach geprüft und dort waren dann gleich zwei ungelesen Mails von Instagram. Eine um 11:17 Uhr welche bedauert dass ich Probleme bei der Anmeldung habe und über einen Link wird mit geholfen mit anzumelden oder eben das Passwort zurückzusetzen. Die andere von 11:19 Uhr welche bestätigt dass main Passwort geändert wurde.
Ein kurzer Check bei der Instagram-App bestätigte dass ich nicht mehr angemeldet bin und auch das Passwort nicht mehr funktioniert. Ich habe dann versucht mich über die hinterlegte Mobilfunknummer anzumelden. Ich habe den normalen Code über SMS erhalten und dann wurde nach einem der Backup-Codes (die Dinger die man ausdruckt, abfotografiert, aufschreibt, etc...) gefragt. Nach dessen Eingabe war ich wieder in meinem Profil. Ich wollte natürlich direkt das Passwort wieder ändern doch das geht nicht wenn man das aktuelle nicht kennt. Mir blieb also nichts anderes Übrig als mich wieder abzumelden. Diesmal aber habe ich mich über den Username bzw. Mail versucht anzumelden. Dann wird gefragt ob man sich via SMS oder Mail anmelden möchte (wenn man SMS macht, passiert das gleich wie oben beschrieben, Codes eingeben und man ist im Account aber keine Möglichkeit das Passwort zurückzusetzen). Wählt man hier nun Mail aus kommt die gleiche Mail die ich um 11:17 Uhr erhalten hatte, es wird bedauert ... inkl. einem Link zum zurücksetzen des Passworts. Klick man auf dem Link kommt man auf eine schlichte Instagram-Seite mit zwei Textboxen für das neue Passwort. Wir das eingegeben und dann bestätigt kommt eine Meldung "This site is not valid". Gleichzeitig erhielt ich aber eine Mail dass das Passwort zurückgesetzt wurde und eine SMS mit "XXXXXX ist dein privater Instagram-Code. Bitte gib ihn nicht weiter". Also genau so wie alles began...
Mit dem neuen Passwort konnte ich mich dann normal wieder anmelden... Natürlich habe ich auch das Passwort von der verknüpften Mail erneuert (das war zwar kein so kryptisches Passwort wie bei Instagram, aber dennoch nicht kurz und enthielt Zahlen, Groß-Klein und ein Sonderzeichen)...
Also was war passiert? Ich kann mit nur erklären dass jemand (irgend ein Bot oder so) über die Mail info eine Rücksetzung angefragt hat. Ob er nun Zugriff auf das komplette Mail-Postfach hatte weiß ich nicht, aber muss ja wohl so sein. Dort einfach die Mail abgefisht mit dem Rücksetzungs-Link und dann ein neues Passwort vergeben. Das war es dann auch schon.
Was ich nicht verstehe is, wo greift hier die 2FA? Ich meine der Code der da via SMS kommt spielt ja gar keine Rolle. Wer den Rücksetzungslink hat, hat die volle Kontrolle? Hätte hier nicht irgendwie bevor ein neues Passwort vergeben wird ein Code abgefragt werden oder auch als alternative einer der Backup-Codes (für den Fall dass man sein Handy verloren hat oder so)?
Mir kommt das etwas eigenartig vor, ich würde gerne verstehe was hier genau passiert ist...
ich habe heute eine etwas eigenartige Erfahrung mit Instagram gemacht. Gleich vorneweg, ich bin bin nur mit den Basics von Instagram vertraut und nutze es gezwungenermaßen nur um in Kontakt zu bleiben. Ich habe für Instagram selber ein "starkes" kryptisches Passwort und dazu auch noch die aktivierte 2FA über SMS (Backup-Codes sind auch vorhanden).
Es fing damit an, dass ich habe von Facebook (ist ja im Besitz von Instagram) eine SMS erhalten habe mit dem Inhalt: "XXXXXX ist dein privater Instagram-Code. Bitte gib ihn nicht weiter" (das war um 11:19 Uhr). Darauf hin habe ich dann mein Mailpostfach geprüft und dort waren dann gleich zwei ungelesen Mails von Instagram. Eine um 11:17 Uhr welche bedauert dass ich Probleme bei der Anmeldung habe und über einen Link wird mit geholfen mit anzumelden oder eben das Passwort zurückzusetzen. Die andere von 11:19 Uhr welche bestätigt dass main Passwort geändert wurde.
Ein kurzer Check bei der Instagram-App bestätigte dass ich nicht mehr angemeldet bin und auch das Passwort nicht mehr funktioniert. Ich habe dann versucht mich über die hinterlegte Mobilfunknummer anzumelden. Ich habe den normalen Code über SMS erhalten und dann wurde nach einem der Backup-Codes (die Dinger die man ausdruckt, abfotografiert, aufschreibt, etc...) gefragt. Nach dessen Eingabe war ich wieder in meinem Profil. Ich wollte natürlich direkt das Passwort wieder ändern doch das geht nicht wenn man das aktuelle nicht kennt. Mir blieb also nichts anderes Übrig als mich wieder abzumelden. Diesmal aber habe ich mich über den Username bzw. Mail versucht anzumelden. Dann wird gefragt ob man sich via SMS oder Mail anmelden möchte (wenn man SMS macht, passiert das gleich wie oben beschrieben, Codes eingeben und man ist im Account aber keine Möglichkeit das Passwort zurückzusetzen). Wählt man hier nun Mail aus kommt die gleiche Mail die ich um 11:17 Uhr erhalten hatte, es wird bedauert ... inkl. einem Link zum zurücksetzen des Passworts. Klick man auf dem Link kommt man auf eine schlichte Instagram-Seite mit zwei Textboxen für das neue Passwort. Wir das eingegeben und dann bestätigt kommt eine Meldung "This site is not valid". Gleichzeitig erhielt ich aber eine Mail dass das Passwort zurückgesetzt wurde und eine SMS mit "XXXXXX ist dein privater Instagram-Code. Bitte gib ihn nicht weiter". Also genau so wie alles began...
Mit dem neuen Passwort konnte ich mich dann normal wieder anmelden... Natürlich habe ich auch das Passwort von der verknüpften Mail erneuert (das war zwar kein so kryptisches Passwort wie bei Instagram, aber dennoch nicht kurz und enthielt Zahlen, Groß-Klein und ein Sonderzeichen)...
Also was war passiert? Ich kann mit nur erklären dass jemand (irgend ein Bot oder so) über die Mail info eine Rücksetzung angefragt hat. Ob er nun Zugriff auf das komplette Mail-Postfach hatte weiß ich nicht, aber muss ja wohl so sein. Dort einfach die Mail abgefisht mit dem Rücksetzungs-Link und dann ein neues Passwort vergeben. Das war es dann auch schon.
Was ich nicht verstehe is, wo greift hier die 2FA? Ich meine der Code der da via SMS kommt spielt ja gar keine Rolle. Wer den Rücksetzungslink hat, hat die volle Kontrolle? Hätte hier nicht irgendwie bevor ein neues Passwort vergeben wird ein Code abgefragt werden oder auch als alternative einer der Backup-Codes (für den Fall dass man sein Handy verloren hat oder so)?
Mir kommt das etwas eigenartig vor, ich würde gerne verstehe was hier genau passiert ist...
