Instagram steht erneut im Fokus der IT-Sicherheitswelt! Denn Millionen von Nutzerdaten sollen in einem neuen Datensatz aufgetaucht sein. Falls du in letzter Zeit verdächtige Passwort-Reset-Mails erhalten hast, solltest du jetzt besonders aufmerksam sein und ein paar Dinge beachten.
In den vergangenen Tagen machte das Gerücht eines riesigen Datenlecks die Runde, als sich bei Instagram immer mehr verdächtige Passwort-Zurücksetzen-Mails häuften. Parallel dazu schlug der Dienst Have I Been Pwned Alarm, denn ein neuer Datensatz mit Informationen von rund 6,2 Millionen Instagram-Konten wurde in die Datenbank aufgenommen. Von BreachForums stammen darüber hinaus 672.000 weitere Datensätze.
Auslöser der aktuellen Diskussion war eine auffällige Welle von Passwort-Reset-E-Mails, die zahlreiche Instagram-Nutzer ohne eigenes Zutun erreichte. Instagram selbst gibt an, sich des Themas angenommen zu haben, niemand müsse Angst um seinen Account haben. Die entsprechenden Reset-Mails solle man ignorieren.
Zusätzlich stellte das Sicherheitsunternehmen Malwarebytes fest, dass ein Nutzer unter dem Pseudonym “Solonik” am 7.Januar 2026 Datensätze von rund 17,5 Millionen Instagram-Profilen zum Kauf anbot.
Enthalten sind nach aktuellem Stand unter anderem Nutzernamen, E-Mail-Adressen und teilweise Telefonnummern. Passwörter sollen kein Teil des Leaks sein. Meta selbst gibt sich gelassen. Der Konzern erklärte via X, „dass kein Einbruch in interne Systeme stattgefunden habe.“ Stattdessen sei ein technischer Fehler behoben worden, der es externen Akteuren ermöglichte, massenhaft Passwort-Zurücksetzungen auszulösen.
Sicherheitsexperten gehen davon aus, dass die betroffenen Daten nicht durch klassisches Hacking, sondern über Instagram-APIs mithilfe von Scraping abgegriffen wurden und auf das Jahr 2024 zurückgehen. Auch wenn kein unmittelbarer Kontozugriff möglich ist, bleibt ein Risiko bestehen. Die Kombination aus E-Mail-Adresse, Telefonnummer und Account-Namen bietet eine ideale Grundlage für gezielte Phishing-Angriffe, Fake-Mails oder betrügerische SMS.
Experten raten daher dringend zur Aktivierung der Zwei-Faktor-Authentifizierung, idealerweise über eine Authenticator-App statt per SMS. Zusätzlich lässt sich die eigene Kontosicherheit erhöhen, indem keine Links aus unerwarteten Reset-Mails angeklickt werden.
Der aktuelle Vorfall zeigt einmal mehr, auch ohne klassische Hacker-Angriffe bleiben große Social-Media-Plattformen ein attraktives Ziel für Datensammler und Cyberkriminelle. Wie Instagram derweil eine KI einsetzt, um deine Posts für Google sichtbarer zu machen, kannst du hier nachlesen.
