Altes Datenleck: Passwort-Reset-Attacken gegen Instagram-Nutzer
Ein altes Datenleck von angeblich 17,5 Millionen Instagram-Nutzern wird vermutlich für eine Passwort-Reset-Attacke verwendet. Das geht aus einem Bericht des Antivirus-Unternehmens Malwarebytes(öffnet im neuen Fenster) hervor. Die sensiblen Daten würden auf Dark-Web-Marktplätzen zum Kauf angeboten, so Malwarebytes.
Malwarebytes entdeckte die geleakten Informationen bei Routine-Untersuchungen im Dark Web. Laut dem Unternehmen umfassen die kompromittierten Daten Instagram-Benutzernamen, E-Mail-Adressen, Telefonnummern und physische Adressen. Der Ursprung des Lecks liegt offenbar in einer Instagram-API-Schwachstelle aus dem Jahr 2024.
Betroffene Nutzer berichten laut Malwarebytes(öffnet im neuen Fenster) bereits von ungewöhnlichen Aktivitäten auf ihren Konten – insbesondere von mehrfachen Passwort-Zurücksetzen-Anfragen von Instagram. Diese unerwarteten Benachrichtigungen könnten darauf hindeuten, dass unbefugte Dritte versuchen, mit den geleakten Informationen auf die Konten zuzugreifen.
Anders als bei typischen Phishing-Versuchen handelt es sich nicht um gefälschte Nachrichten. Stattdessen scheinen Angreifer die legitime Passwort-Reset-Funktion der Plattform zu missbrauchen.
Welche Gefahren drohen Betroffenen?
Die geleakten Daten könnten verschiedene Arten von Cyberangriffen ermöglichen, warnt Malwarebytes in Mitteilungen an seine Kunden. Phishing-Versuche stellen eine Gefahr dar, da Angreifer die persönlichen Informationen nutzen könnten, um überzeugende betrügerische Nachrichten zu verfassen. Auch Account-Übernahmen sind möglich, bei denen Kriminelle mit den offengelegten Zugangsdaten unbefugten Zugriff erlangen könnten.
Malwarebytes weist darauf hin, dass die Informationen derzeit in Dark-Web-Foren zum Verkauf angeboten werden und damit für Cyberkriminelle zugänglich sind. Das Unternehmen nannte weder den konkreten Dark-Web-Marktplatz noch den Kaufpreis für die geleakten Daten.
Was sollten Instagram-Nutzer jetzt tun?
Die Sicherheitsexperten empfehlen Instagram-Nutzern mehrere Schutzmaßnahmen. Die Aktivierung der Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene über das Passwort hinaus. Nutzer sollten außerdem in Erwägung ziehen, ihre Instagram-Passwörter zu ändern – insbesondere wenn sie dasselbe Passwort für mehrere Accounts verwenden.
Instagram-Nutzer können über das Accounts Center von Meta(öffnet im neuen Fenster) überprüfen, welche Geräte derzeit in ihre Konten eingeloggt sind. Diese Funktion ermöglicht es, unbefugten Zugriff zu identifizieren und unbekannte Geräte per Fernzugriff abzumelden. Das Accounts Center bietet zudem Optionen zur Verwaltung der Sicherheitseinstellungen über alle Meta-Plattformen hinweg.
Nachtrag vom 11. Januar 2026, 16:52 Uhr
Meta hat mittlerweile auf X geantwortet(öffnet im neuen Fenster) : "Wir haben ein Problem behoben, durch das externe Parteien für bestimmte Personen E-Mails zum Zurücksetzen des Passworts anfordern konnten. Es gab keinen Verstoß gegen unsere Systeme und Ihre Instagram-Konten sind sicher.
Sie können diese E-Mails ignorieren – bitte entschuldigen Sie die Unannehmlichkeiten."