– Hacker haben Daten und Kontoinformationen von rund 17,5 Millionen Instagram-Nutzern geklaut. Welche Informationen genau in unbefugte Hände gelangten und was die Verbraucherschutzzentrale rät, lesen Sie hier.
Bereits vergangene Woche hat eine Cybersicherheitsfirma namens Malwarebytes entdeckt, dass Hacker sensible Daten von gut 17,5 Millionen Nutzerinnen und Nutzern der Social-Media-Plattform Instagram abgefischt haben – die personenbezogenen Daten sollen im Darknet kursieren. Das bedeutet: Privatsphäre und Kontosicherheit können in Gefahr sein. Die Verbraucherschutzzentrale warnt eindringlich: Die Folge könnten täuschend echt wirkende Phishing-Mails sein, die persönliche Daten verwenden.
Millionen Profildaten wurden laut Verbraucherschutzzentrale an Programmierschnittstellen automatisiert ausgelesen (sogenanntes Scraping) und kursieren nun in Untergrundforen. Passwörter seien demzufolge nicht betroffen. Zu den gestohlenen Daten zählen jedoch: Benutzernamen, physische Adressen, Telefonnummern und E-Mail-Adressen.
Wie Malwarebytes anführt, seien Kontoinhaber mit genau dieser Kombination an Daten besonders gefährdet für Angriffe aus den Spektren Phishing, Identitätsdiebstahl und sogenanntes Social Engineering, was als Betrugsmasche gilt, mittels derer Angegriffene derart manipuliert werden, sodass sie sensible Informationen preisgeben oder schädliche Software installieren.
Mails zum Zurücksetzen des Passworts werden verschickt
In der Folge des Datenlecks erhalten Profilinhaberinnen und Profilinhaber täuschend echte Phishing-Mails, die die persönlichen Daten nutzen. Cyberkriminelle könnten damit getestet haben, ob die angegebene E-Mail-Adresse zu einem Instagram-Konto gehört. Jeder Nutzende kann auf der Anmeldeseite auf das Feld „Passwort vergessen“ klicken und eine E-Mail-Adresse eingeben. Wenn zu der Adresse ein Instagram-Konto existiert, folgt nach der Eingabe auf der Seite die Bestätigung: „Wir haben dir per E-Mail an xxx einen Link gesendet, mit dem du wieder Zugriff auf dein Konto erhältst.“
So bringen die Hacker in Erfahrung, ob die E-Mail-Adresse authentisch und mit dem jeweiligen Instagram-Account verknüpft ist. Damit können sie diese zum Beispiel im Darknet für einiges an Geld verkaufen.
Datenleck bei Instagram – was ist zu tun?
Zurücksetzungsmails ignorieren: Nutzer und Nutzerinnen sollten jetzt besonders vorsichtig mit E-Mails und Nachrichten umgehen, die vermeintlich von Instagram kommen. Hacker könnten im Namen der Plattform Nachrichten schreiben und Sie dazu bringen, Ihr Passwort herauszugeben, warnt Malwarebytes auf der Social-Media-Plattform X. Wer also eine Mail bekommen hat, ohne dass sie angefordert wurde, sollte laut Instagram diese Nachricht löschen und nichts unternehmen. Änderungen an eigenen Profil sollte man nie über Links in E-Mails vornehmen, sondern ausschließlich direkt in der Instagram-App oder auf der echten Webseite.
Kennwort erneuern: Es kann sinnvoll sein, das eigene Passwort zu erneuern und ein starkes und einzigartiges Passwort zu erstellen, das auch nur für Instagram genutzt wird – gerade, wenn man eine Zurücksetzungsmail ohne eigenes Zutun erhalten hat.
Auch eine Zweifaktorauthentifizierung ist hilfreich, um das eigene Konto zu schützen. Die weitere Sicherheitsstufe macht es Kriminellen viel schwerer, auf das Konto zuzugreifen – selbst wenn das Passwort bekannt wäre. Dafür nutzt man am besten eine Authenticator-App – und nicht den Weg über SMS.
Login-Aktivität überprüfen: Unter dem Punkt „Sicherheit“ in den App-Einstellungen findet sich „Login-Aktivität“. Hier kann man kontrollieren, ob unbekannte Geräte oder ferne Orte auftauchen. Der Accounts-Center von Meta zeigt, welche Geräte bei welchen Diensten des Großkonzerns angemeldet sind.
Betroffenheit kontrollieren: Es gibt verschiedene, kostenlose Dienste wie Have I Been Pwned oder der Identity Leak Checker, die anzeigen, ob eine E-Mail-Adresse in bekannten Datenlecks auftaucht.
Passwort-Manager oder Passkeys nutzen: Entsprechende Werkzeuge unterstützen das sichere Verwalten von Kennwörtern und erhöhen die Passwort-Sicherheit deutlich.
Antivirenprogramm erneuern: Virenschutz-Software sollte immer auf dem neuesten Stand sein, damit sie Schadsoftware erkennt, die wiederum Zugangsdaten abfangen könnte.
Nach dem Instagram-Datenleck: Was kann Nutzenden drohen?
Wie die Verbraucherschutzzentrale auf ihrer Webseite informiert, können Cyberkriminelle mit den geleakten Daten entweder Phishing-Angriffe vornehmen – also täuschend echte Nachrichten in ihrem Namen verschicken, die vermeintlich von Instagram stammen – oder gar Ihre Identität stehlen, in dem sie Fake-Profile erstellen und mit den falschen Konten ihre Betrugsmaschen durchführen.
Es sei vorstellbar, dass der Vorfall mit einem API-Expositionsproblem bei Instagram aus 2024 in Verbindung steht. „Meta“ hat derzeit (Stand 13. Januar 2026, 15 Uhr) laut übereinstimmenden Medienberichten noch keine Stellungnahme zu dem Vorfall herausgegeben, berichtet unter anderem das PC-Portal chip.de.
Immer topaktuell informiert bleiben über die wichtigsten Themen aus der Region? Über unseren WhatsApp-Kanal erfahren Sie alle Neuigkeiten aus erster Hand.
Hier geht es direkt zum WhatsApp-Channel – eine „Schritt für Schritt“-Anleitung finden Sie hier.