Es passierte am frühen Samstag Abend. Mitten in die Vorbereitungen auf das Supercup-Finale zwischen Borussia Dortmund und Bayern München platzte die Nachricht, dass mein Instagram-Konto gehackt worden ist.

Mein Buddy Micha hatte mich darauf aufmerksam gemacht, dass in meinem Instagram-Feed ein komisches Foto gepostet worden ist und in meiner Bio eine ungewöhnliche URL angegeben ist.

Und in der Tat bin ich Opfer der jüngsten Spam-Welle im beliebten Foto-Netzwerk geworden. Caschy hatte am gleichen Tag darüber gebloggt: Schon wieder: Instagram-Konten für Spam missbraucht.

Das ist übrigens das gespammte Foto, das Instagram aus meinem Account gelöscht hat:

Erste Hilfe bei Spam- und Hacker-Angriff

Zu allererst heißt es: Ruhe bewahren und nicht in Panik verfallen. Wichtig ist, dass der Angriff von euch entdeckt worden ist – oder ihr auf den Angriff aufmerksam gemacht worden seid.

Als erste Sofortmaßnahme habe ich das Passwort bei Instagram zurückgesetzt, damit die Hacker oder Spammer keinen Zugriff mehr auf mein Konto haben. Das geht relativ einfach über den Link Passwort vergessen im Browser.

Nach wenigen Minuten gibt es per E-Mail einen Link zur Passwort-Rücksetzung, die gleichbedeutend mit der neuen Passwortvergabe ist.

Auch Instagram hat den großflächigen Angriff bemerkt und mich per E-Mail knapp eindreiviertel Stunde nach Michas Hinweis per E-Mail informiert:

Hi ostwestf4le,

We detected some suspicious activity that suggests your Instagram account may have been compromised. Don’t worry, we’ve taken measures to secure your account. As a result, we need you to reset your password, using the links below:

Reset your password using a web browser:
https://instagram.com/accounts/password/reset/

If you have any problems accessing your account, please check the Instagram Help Center at http://help.instagram.com/. For more tips on how to keep your account secure, check out http://help.instagram.com/369001149843369/.

-The Instagram Team

Sichere Passwörter verwenden

Wichtig ist, dass bei dem neu vergebenen Passwort nach Möglichkeit möglichst alle Regeln der sicheren Passwortvergabe angewendet werden.

Das zeichnet ein gutes Passwort aus

• Es sollte mindestens acht Zeichen lang sein.
  (Ausnahme: Bei Verschlüsselungsverfahren wie z.B. WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren – das geht z.B. beim Hacken von Online-Accounts nicht.)
• Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
• Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw.
• Wenn möglich sollte es nicht in Wörterbüchern vorkommen.
• Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmusternmustern bestehen, also nicht asdfgh oder 1234abcd usw.
• Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.
• (Quelle)

Anschließend habe ich meine Instagram-Bio wiederhergestellt und die korrekte Verlinkung zu meinem Blog angeben und die Spam-Attacke war ausgebügelt.