Mercedes Benz auf Instagram gehackt

Der offizielle Instagram-Account Mercedesbenz_de mit 6,7 Mio Abonnenten wurde gehackt – eine Zusammenfassung und Analyse

Am Abend des 5. Mai sind in meinen Social Media Feeds auf einmal Screenshots mit Beiträgen des Accounts @mercedesbenz_de auf Instagram aufgeploppt. Ich dachte mir zuerst, dass das irgendeine Photoshop-Challenge sei. Nach dem fünften Beitrag habe ich dann aber doch mal auf den Account geschaut. Und sieh da: Der Instagram-Account mit 6,7 Millionen Abonnenten wurde allem Anschein nach gehackt.

So habe ich den Account um 21:44 Uhr das erste Mal gesehen.

  • Das Profilfoto wurde gegen ein Foto des YouTuber Montana Black ausgetauscht
  • Die Bio wurde ausgetauscht und ein Link zu einer Bitcoin-„Spendenseite“ eingebunden
  • Im Feed war ein Nicht-Mercedes Benz Bild zu sehen.
  • Es gab zwei Story-Elemente
  • Die abonnierten Accounts waren sehr fragwürdig

Gegen 23:20 Uhr war der Spuk wieder vorüber. Aber innerhalb dieser knapp 3 Stunden ist auf dem Account einiges passiert.

Ein Rückblick und eine kleine Analyse des Hacks

Auf dem Profilfoto ist der YouTuber Montana Black zu sehen. Er hat über verschiedenste Kanäle mehrere Millionen Abonnenten und man kann schon behaupten, dass er eine der bekanntesten und finanziell erfolgreichsten Social Media Persönlichkeiten und Streamer Deutschlands ist.
Interessanterweise war er Kunde des sogenannten Mercedes Benz VIP Leasings – bis ihm vor Monaten der Vertrag gekündigt wurde.

Er wurde durch seine Abonnenten auf den Hack aufmerksam gemacht.

Wahrscheinlich hat ihn der Hacker über den Mercedes Benz Account sogar per Direktnachricht kontaktiert. Als Reaktion postet er in einer Instagram-Story:

Die Bio und der Spendenlink

In der Bio wurde ein Link zu einer Bitcoin-Spendenseite eingebunden. Der Titel der Spendenaktion wandelte sich im Laufe des Abends hin zu „Spendenaktion für Hungernde“. Auf Twitter wurde der Link analysiert und anscheinend kamen sogar 9 Spenden in Höhe von etwa 80 US-$ zusammen. Hier stellt sich mir nur die Frage, wer bei einem offensichtlich gehackten Account wirklich auf Links klickt und dann noch Geld spendet.

Die Bilder im Feed

Das Mercedes Benz Social Media Team machte bei der Aktion einen sehr guten Job. Sie konnten den Account zwar nicht direkt übernehmen, Bilder im Feed wurden aber umgehend wieder gelöscht. Das ist auch gut so. Neben harmlosen Fotos von Montana Black und anderen YouTubern/Streamern war auch ein Hakenkreuz zu sehen.

Recht harmlos wirkt da hingegen das gepostete Foto eines BMW X6 mit dem Text „Ich will ehrlich sein … BMW ist eh viel besser“

Die Storyelemente

Über den Account wurden im Laufe des Abends mehrere Stories veröffentlicht. Interessant sind diese zwei hier
Es werden hier die Accounts zweier junger Frauen empfohlen. Eine davon reagierte relativ schnell über Instagram und Twitch
Auf Twitch erklärte sie, dass sie während des Hacks über den offiziellen Account ständig DMs bekam: Abwechselnd Liebesbekundungen, Beleidigungen und Drohungen. Sie wisse nicht, wer dahinter steckt. Anscheinend hat aber vor ein paar Tagen jemand ein veröffentlichtes Foto kommentiert und eine solche Aktion sogar angekündigt.

Die neu abonnierten Accounts

Im Namen des Mercedesbenz_de Accounts wurden sehr schnell viele Accounts geliked. Neben YouTubern und Streamern gab es Likes für diverse Spaß-, Musiker- und Rapaccounts. Aber auch der Account des AFD-Bundesverbands wurde geliked.

Die Kommentare und DMs

Auf vielen Accounts waren auf einmal unzählige Kommentare zu sehen. Es gab die standard-Kommentare des Hackers á la „hacked by“, aber auch massive Beleidigungen und Verunglimpfungen. Einige Accounts berichteten, dass sie wie die jungen Frauen auch per DM beschimpft wurden.

Abonnenten-Zuwachs der empfohlenen Accounts

Ersten Analyse zufolge konnten einige der empfohlenen großen Instagram-Accounts durch die Empfehlung (sog. Shoutout) in einer Stunde 20.000 neue Abonnenten verzeichnen. Im Detail waren das aber meist Bot-Accounts.

Bilder eines Terroristen im Feed und als Profilbild

Im Laufe des Abends wurde das Profilbild mehrmals verändert. Kurz vor Ende der Aktion wurde ein Foto des Terroristen Dennis Cuspert eingebunden und auch im Feed gepostet. Dennis Cuspert wurde als deutschsprachiger Rapper Deso Dogg (Berlin) bekannt, konvertierte zum Islam und radikalisierte sich, bevor er für den Islamischen Staat nach Syrien ging und dort bei einem Militäreinsatz ums Leben kam.

Wie wurde auf den Hack reagiert?

Das Social Media Team hat sehr schnell reagiert und zumindest Beiträge im Feed schnell gelöscht. Die Bio und Story blieben lange unangetastet. Es war ein wirkliches „Katz und Maus“-Spiel. Kaum war ein Beitrag gelöscht, kam mindestens ein neuer dazu.

Gegen 23:20 Uhr war der Account nicht mehr erreichbar.

Wer steckt hinter dem Hack?

Es gibt bisher keine wirklichen „Bekennerschreiben“ im klassischen Sinne. Das Verhalten auf dem Account und die geteilten Bilder, die Kommentare und DMs lassen aber stark vermuten, dass es keine Industriespionage war, sondern eher pubertäres Imponiergehabe. Es bleibt spannend, denn Mercedes Benz hat gestern Nacht bereits rechtliche Schritte angekündigt.

Wie konnte so etwas passieren?

Diese Frage werden sich heute bei Mercedes Benz und den betreuenden Agenturen viele Verantwortliche stellen. Fakt ist, dass so große Accounts über professionelle Social Media Tools mit einer komplexen Rechtestruktur verwaltet werden. Entweder gibt es hier eine Schwachstelle oder jemand ist über einen Phishing-Angriff in den Besitz der Zugangsdaten eines Verantwortlichen gekommen.

Ich gehe stark davon aus, dass der Account über die gängigen Sicherungsmaßnahmen wie sicheres Passwort und zweistufige Authentifizierung abgesichert wird. Online wird schon geunkt, dass das Passwort AMG123 wohl doch zu einfach zu erraten war.

Wie geht es weiter?

Heute wird im Hause Mercedes Benz wohl einiges analysiert und geprüft werden. Auch die Polizei wird wahrscheinlich schon mit dem Fall betraut sein. In der Social Media Szene wird uns dieser Case in den nächsten Jahren lange als Worst Case begleiten. Denn es kommt nicht täglich vor, dass der Account eines deutschen Autoherstellers mit 6,7 Millionen Abonnenten von pubertierenden Teenagern für mehrere Stunden gekapert wird.