Instagram: Millionen Nutzer nach Datenleck im Visier von Phishing-Welle

Ein massives Sicherheitsleck bei Instagram hat persönliche Daten von rund 17,5 Millionen Konten auf dem Dark Web preisgegeben. Die Folge ist eine globale Phishing-Kampagne, die Nutzer mit gefälschten Passwort-Reset-E-Mails überzieht und die Sicherheitsmaßnahmen der Plattform in Frage stellt.

Seit Donnerstag erhalten Nutzer weltweit unaufgefordert E-Mails zur Passwortzurücksetzung. Diese stammen zwar teilweise von Instagrams legitimen Systemen – ausgelöst durch Bots mit den geleakten E-Mail-Adressen –, dienen Angreifern aber als Deckmantel für parallel verschickte, gefährliche Phishing-Nachrichten. Diese führen auf betrügerische Webseiten, die Login-Daten abgreifen sollen.

17,5 Millionen Datensätze auf BreachForums veröffentlicht

Den Auslöser der Krise bildet ein Datensatz, der am Mittwoch, 7. Januar, im berüchtigten Hacker-Forum BreachForums auftauchte. Ein Nutzer mit dem Alias „Solonik“ veröffentlichte die Informationen und behauptete, sie über eine Schwachstelle in der Instagram-API abgegriffen zu haben.

Gefälschte Passwort-Reset-Mails und Smishing sind derzeit die Einfallstore für Datendiebstahl – viele Nutzer und Unternehmen erkennen Phishing zu spät. Das kostenlose Anti-Phishing-Paket bietet eine klare 4-Schritte-Anleitung: aktuelle Angriffsmethoden verstehen, psychologische Tricks erkennen, technische Abwehrmaßnahmen umsetzen und interne Prozesse stärken (z. B. CEO-Fraud-Prävention). Praxistipps sind branchenspezifisch und sofort anwendbar. Anti-Phishing-Paket jetzt kostenlos herunterladen

Die analysierten Daten enthalten laut Sicherheitsforschern:
* Nutzernamen und Anzeigenamen
* Verknüpfte E-Mail-Adressen
* Telefonnummern
* Geodaten
* In einigen Fällen Teile physischer Adressen

Zwar sind keine Passwörter im Leak enthalten. Doch die Kombination aus E-Mail und Telefonnummer bietet Cyberkriminellen genug Angriffsfläche für gezielte Phishing-Attacken und SIM-Swapping. Experten vermuten, dass die Daten auf eine bereits aus dem Jahr 2024 bekannte Schwachstelle zurückgehen, die nun neu verpackt und kostenlos verbreitet wurde.

Meta dementiert Hackerangriff auf interne Systeme

Auf dem sozialen Netzwerk X reagierte Instagram am Sonntag auf die wachsende Verunsicherung. Der Mutterkonzern Meta bestritt einen direkten Einbruch in seine internen Systeme. Stattdessen verwies das Unternehmen auf einen externen Vorfall.

Man habe einen Fehler identifiziert und behoben, der es einer externen Partei erlaubt habe, Passwort-Reset-E-Mails ohne ordnungsgemäße Authentifizierung auszulösen. Die Konten der Nutzer seien sicher, so Instagram. Die unerwünschten E-Mails sollten ignoriert werden.

Diese Erklärung stieß in der Sicherheits-Community auf Kritik. Viele fragen sich, wie eine externe Partei Plattform-Funktionen in diesem Ausmaß manipulieren konnte, ohne früher automatische Missbrauchsalarme auszulösen. Die juristische Unterscheidung zwischen einem „Systemeinbruch“ und „Datenscraping“ ist für betroffene Nutzer wenig tröstlich – ihre Kontaktdaten sind öffentlich.

API-Schwachstellen als Achillesferse der Plattformsicherheit

Der Vorfall unterstreicht ein grundsätzliches Problem moderner Plattformen: unsichere Schnittstellen (APIs). Diese erlauben Apps die Kommunikation, können aber bei laxer Absicherung mehr Daten preisgeben als beabsichtigt.

Sicherheitsexperten sehen Parallelen zu den Scraping-Vorfällen bei LinkedIn und Facebook aus dem Jahr 2021. Die aktuelle Instagram-Krise ist jedoch aggressiver, weil die gestohlenen Daten sofort für Angriffe genutzt werden. Die Timing-Frage ist auch vor dem Hintergrund der EU-Datenschutzgrundverordnung (DSGVO) relevant, die strenge Fristen für die Benachrichtigung bei Datenschutzverletzungen vorschreibt. Metas Einordnung als „Nicht-Breach“ könnte eine strategische rechtliche Abgrenzung sein.

Was Nutzer jetzt tun sollten – und was kommt

Sicherheitsfirmen rechnen in den kommenden Tagen mit einer zweiten Angriffswelle, die noch gezielter ausfällt. Angreifer könnten von E-Mail-Phishing auf SMS-Phishing („Smishing“) umschwenken und sich etwa als Instagram-Support ausgeben.

Nutzern wird dringend ein „Zero-Trust“-Ansatz für alle eingehenden Nachrichten empfohlen:
1. Unerwünschte Reset-E-Mails ignorieren: Keine Links in diesen Nachrichten anklicken.
2. Zwei-Faktor-Authentifizierung (2FA) prüfen: Diese sollte aktiviert sein, idealerweise via Authenticator-App (wie Google Authenticator) und nicht per SMS, die anfällig für SIM-Swapping ist.
3. Login-Aktivität überwachen: Im Instagram-Account regelmäßig den Bereich „Login-Aktivität“ auf unbekannte Geräte oder Standorte prüfen.

Während die Aufsichtsbehörden in der EU und den USA voraussichtlich Metas API-Sicherheit und Reaktionszeit unter die Lupe nehmen werden, liegt die Hauptlast der Abwehr vorerst bei der Wachsamkeit jedes einzelnen Nutzers.

PS: Wollen Sie sich und Ihr Team schnell schützen? Der kompakte Gratis-Report erklärt, warum API-Scraping und personalisierte Phishing-Mails aktuell so gefährlich sind, nennt die sieben häufigsten Psychotricks von Angreifern und liefert eine sofort einsetzbare Checkliste für E-Mail-, SMS- und Account-Absicherung. Ideal für Privatanwender und Unternehmen, die ohne großen Aufwand die Angriffsfläche reduzieren wollen. Jetzt Anti-Phishing-Paket sichern