Ein massives Datenset mit persönlichen Informationen von ungefähr 17 Millionen Instagram-Konten ist auf Hacker-Foren aufgetaucht. Dies führte zu weit verbreiteten Passwort-Zurücksetzen-E-Mails und wirft Fragen über die Grenze zwischen Daten-„Scraping“ und Sicherheitsverletzungen auf.
Am 7. Januar 2026 veröffentlichte ein Bedrohungsakteur unter dem Alias „Solonik“ ein Datenset mit dem Titel „INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK“ auf BreachForums, einem berüchtigten Untergrund-Hackerforum. Die Sammlung, formatiert in JSON- und TXT-Dateien, enthält Benutzernamen, vollständige Namen, E-Mail-Adressen (für ungefähr 6,2 Millionen Konten), Telefonnummern, teilweise Adressen und Geolokalisierungsdaten, aber bemerkenswerterweise keine Passwörter.
Die Cybersicherheitsfirma Malwarebytes entdeckte das Leck während der routinemäßigen Dark-Web-Überwachung und warnte die Nutzer am 9. Januar. Die Firma wies darauf hin, dass Angreifer die Informationen bereits für Phishing-Kampagnen und Versuche der Kontoübernahme ausnutzen, insbesondere durch Missbrauch des Instagram-Passwort-Zurücksetzen-Systems.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Instagram reagierte auf den Vorfall am 11. Januar über den offiziellen X-Account (früher Twitter): „Wir haben ein Problem behoben, das es einer externen Partei ermöglichte, Passwort-Zurücksetzen-E-Mails für einige Personen anzufordern. Es gab keinen Systemeinbruch, und Ihre Instagram-Konten sind sicher. Sie können diese E-Mails ignorieren — Entschuldigung für eventuelle Verwirrung.“
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
Meta deutete an, dass die geleakten Daten alte, zuvor gescrapte Informationen darstellen, die wieder auftauchen, und nicht einen neuen Einbruch.
Scraping vs. Datenleck Debatte
Sicherheitsforscher sind sich uneinig, wie der Vorfall zu klassifizieren ist. Während Meta darauf besteht, dass keine Systeme kompromittiert wurden, kategorisierte Malwarebytes ihn als Datenleck und betonte, dass sensible persönliche Informationen frei auf Dark-Web-Foren zirkulieren und aktiv von Cyberkriminellen genutzt werden.
Für betroffene Nutzer ist die Unterscheidung weniger relevant als die praktische Realität: Ihre persönlichen Daten sind nun für Angreifer zugänglich, unabhängig davon, wie sie erlangt wurden. Einige Cybersicherheitsexperten vermuten, dass die Daten von einem API-Scraping-Vorfall 2022 stammen könnten, obwohl dies nicht bestätigt ist.
Welche Daten offengelegt wurden
Laut mehreren Berichten, die das geleakte Datenset analysierten (nicht alle diese Informationen sind für jeden Datensatz vorhanden):
- ID: 17.015.503
- Benutzername: 16.553.662
- E-Mail: 6.233.162
- Telefonnummer: 3.494.383
- Name: 12.418.006
- Adresse: 1.335.727
Kritisch: Es wurden keine Passwörter in dem Leak enthalten.
Was Sie jetzt tun sollten
1. Überprüfen Sie Ihre Exposition
Besuchen Sie Have I Been Pwned und suchen Sie nach der E-Mail-Adresse oder Telefonnummer, die mit Ihrem Instagram-Konto verknüpft ist.
2. Zwei-Faktor-Authentifizierung aktivieren
- Öffnen Sie die Instagram-App > Einstellungen > Kontenübersicht > Passwort und Sicherheit > Zweistufige Authentifizierung
- Wählen Sie eine Authentifikator-App (Google Authenticator, Authy) statt SMS
- SMS-basierte 2FA ist anfällig für SIM-Swap-Angriffe
3. Passwort aktualisieren
- Einstellungen > Kontenübersicht > Passwort und Sicherheit > Passwort ändern
- Erstellen Sie ein starkes, einzigartiges Passwort (12+ Zeichen, Mischung aus Buchstaben/Zahlen/Symbolen)
- Nie dasselbe Passwort auf mehreren Plattformen verwenden. Nutzen Sie einen Passwort-Manager wie Bitwarden oder 1Password
4. Anmeldeaktivität überprüfen
- Einstellungen > Kontenübersicht > Hier bist du aktuell angemeldet
- Überprüfen Sie unbekannte Geräte oder Standorte
- Verdächtige Sitzungen sofort abmelden
5. Unaufgeforderte Zurücksetzen-E-Mails ignorieren
Löschen Sie Passwort-Zurücksetzen-Anfragen, die Sie nicht initiiert haben. Änderungen an Konten nur direkt über die Instagram-App vornehmen, niemals über E-Mail-Links.
6. Auf Phishing achten
Die geleakten Kontaktdaten ermöglichen gezielte Betrugsversuche. Seien Sie misstrauisch gegenüber:
- E-Mails oder DMs, die vorgeben, von Instagram/Meta zu stammen
- Anfragen nach Bestätigungscodes
- Nachrichten, die Ihre persönlichen Daten zur Legitimation verwenden
7. Kreditüberwachung in Betracht ziehen
Wenn teilweise Adressen offengelegt wurden, sollten Sie eine Betrugswarnung bei den Kreditauskunfteien (Equifax, Experian, TransUnion) in Betracht ziehen.
Schnelle Fakten zur Beachtung
Dies ist nicht Metas erste Datenpanne. Das Unternehmen wurde 2022 mit einer Geldstrafe von 265 Millionen Euro belegt, aufgrund eines Facebook-Datenlecks 2021, das Hunderte Millionen Nutzer betraf. Der Vorfall zeigt die anhaltenden Spannungen zwischen der Definition von „Verstößen“ durch Plattformen und der tatsächlichen Risikobewertung durch Sicherheitsforscher.
Meta scheint zwischen unbefugtem Systemzugriff und Datenerhebung über legitime, aber missbrauchte Funktionen zu unterscheiden.
Sicherheitsexperten konzentrieren sich auf das Ergebnis: offengelegte Nutzerinformationen zirkulieren nun in kriminellen Marktplätzen.
Montag-Sonntag: 5:00 - 20:00 Uhr (GMT+2)
Kommentar hinterlassen