– Hacker haben Daten und Kontoinformationen von rund 17,5 Millionen Instagram-Nutzern geklaut. Welche Informationen genau in unbefugte H\u00e4nde gelangten und was die Verbraucherschutzzentrale r\u00e4t, lesen Sie hier.<\/p>\n
Bereits vergangene Woche hat eine Cybersicherheitsfirma namens Malwarebytes entdeckt, dass Hacker sensible Daten von gut 17,5 Millionen Nutzerinnen und Nutzern der Social-Media-Plattform Instagram abgefischt haben – die personenbezogenen Daten sollen im Darknet kursieren. Das bedeutet: Privatsph\u00e4re und Kontosicherheit k\u00f6nnen in Gefahr sein. Die Verbraucherschutzzentrale warnt eindringlich: Die Folge k\u00f6nnten t\u00e4uschend echt wirkende Phishing-Mails sein, die pers\u00f6nliche Daten verwenden.<\/p>\n
Millionen Profildaten wurden laut Verbraucherschutzzentrale an Programmierschnittstellen automatisiert ausgelesen (sogenanntes Scraping) und kursieren nun in Untergrundforen. Passw\u00f6rter seien demzufolge nicht betroffen. Zu den gestohlenen Daten z\u00e4hlen jedoch: Benutzernamen, physische Adressen, Telefonnummern und E-Mail-Adressen.<\/p>\n
Wie Malwarebytes anf\u00fchrt, seien Kontoinhaber mit genau dieser Kombination an Daten besonders gef\u00e4hrdet f\u00fcr Angriffe aus den Spektren Phishing, Identit\u00e4tsdiebstahl und sogenanntes Social Engineering, was als Betrugsmasche gilt, mittels derer Angegriffene derart manipuliert werden, sodass sie sensible Informationen preisgeben oder sch\u00e4dliche Software installieren. <\/p>\n
Mails zum Zur\u00fccksetzen des Passworts werden verschickt<\/p>\n
In der Folge des Datenlecks erhalten Profilinhaberinnen und Profilinhaber t\u00e4uschend echte Phishing-Mails, die die pers\u00f6nlichen Daten nutzen. Cyberkriminelle k\u00f6nnten damit getestet haben, ob die angegebene E-Mail-Adresse zu einem Instagram-Konto geh\u00f6rt. Jeder Nutzende kann auf der Anmeldeseite auf das Feld \u201ePasswort vergessen\u201c klicken und eine E-Mail-Adresse eingeben. Wenn zu der Adresse ein Instagram-Konto existiert, folgt nach der Eingabe auf der Seite die Best\u00e4tigung: \u201eWir haben dir per E-Mail an xxx einen Link gesendet, mit dem du wieder Zugriff auf dein Konto erh\u00e4ltst.\u201c<\/p>\n
So bringen die Hacker in Erfahrung, ob die E-Mail-Adresse authentisch und mit dem jeweiligen Instagram-Account verkn\u00fcpft ist. Damit k\u00f6nnen sie diese zum Beispiel im Darknet f\u00fcr einiges an Geld verkaufen.<\/p>\n
Datenleck bei Instagram – was ist zu tun?<\/p>\n
Zur\u00fccksetzungsmails ignorieren:<\/strong> Nutzer und Nutzerinnen sollten jetzt besonders vorsichtig mit E-Mails und Nachrichten umgehen, die vermeintlich von Instagram kommen. Hacker k\u00f6nnten im Namen der Plattform Nachrichten schreiben und Sie dazu bringen, Ihr Passwort herauszugeben, warnt Malwarebytes auf der Social-Media-Plattform X. Wer also eine Mail bekommen hat, ohne dass sie angefordert wurde, sollte laut Instagram diese Nachricht l\u00f6schen und nichts unternehmen. \u00c4nderungen an eigenen Profil sollte man nie \u00fcber Links in E-Mails<\/strong> vornehmen, sondern ausschlie\u00dflich direkt in der Instagram-App oder auf der echten Webseite.<\/p>\n Kennwort erneuern:<\/strong> Es kann sinnvoll sein, das eigene Passwort zu erneuern und ein starkes und einzigartiges Passwort zu erstellen, das auch nur f\u00fcr Instagram genutzt wird – gerade, wenn man eine Zur\u00fccksetzungsmail ohne eigenes Zutun erhalten hat.<\/p>\n Auch eine Zweifaktorauthentifizierung<\/strong> ist hilfreich, um das eigene Konto zu sch\u00fctzen. Die weitere Sicherheitsstufe macht es Kriminellen viel schwerer, auf das Konto zuzugreifen \u2013 selbst wenn das Passwort bekannt w\u00e4re. Daf\u00fcr nutzt man am besten eine Authenticator-App – und nicht den Weg \u00fcber SMS.<\/p>\n Login-Aktivit\u00e4t \u00fcberpr\u00fcfen<\/strong>: Unter dem Punkt \u201eSicherheit\u201c in den App-Einstellungen findet sich \u201eLogin-Aktivit\u00e4t\u201c. Hier kann man kontrollieren, ob unbekannte Ger\u00e4te oder ferne Orte auftauchen. Der Accounts-Center von Meta zeigt, welche Ger\u00e4te bei welchen Diensten des Gro\u00dfkonzerns angemeldet sind.<\/p>\n Betroffenheit kontrollieren:<\/strong> Es gibt verschiedene, kostenlose Dienste wie Have I Been Pwned oder der Identity Leak Checker, die anzeigen, ob eine E-Mail-Adresse in bekannten Datenlecks auftaucht.<\/p>\n Passwort-Manager oder Passkeys nutzen<\/strong>: Entsprechende Werkzeuge unterst\u00fctzen das sichere Verwalten von Kennw\u00f6rtern und erh\u00f6hen die Passwort-Sicherheit deutlich.<\/p>\n Antivirenprogramm erneuern<\/strong>: Virenschutz-Software sollte immer auf dem neuesten Stand sein, damit sie Schadsoftware erkennt, die wiederum Zugangsdaten abfangen k\u00f6nnte.<\/p>\n Nach dem Instagram-Datenleck: Was kann Nutzenden drohen?<\/p>\n Wie die Verbraucherschutzzentrale auf ihrer Webseite informiert, k\u00f6nnen Cyberkriminelle mit den geleakten Daten entweder Phishing-Angriffe vornehmen – also t\u00e4uschend echte Nachrichten in ihrem Namen verschicken, die vermeintlich von Instagram stammen – oder gar Ihre Identit\u00e4t stehlen, in dem sie Fake-Profile erstellen und mit den falschen Konten ihre Betrugsmaschen durchf\u00fchren.<\/p>\n Es sei vorstellbar, dass der Vorfall mit einem API-Expositionsproblem bei Instagram aus 2024 in Verbindung steht. \u201eMeta\u201c hat derzeit (Stand 13. Januar 2026, 15 Uhr) laut \u00fcbereinstimmenden Medienberichten noch keine Stellungnahme zu dem Vorfall herausgegeben, berichtet unter anderem das PC-Portal chip.de.<\/p>\n