Hacker oder Fehlalarm? Instagrams dubiose Flut an Passwort-Mails

Tausende Instagram-Nutzer erhalten aktuell Mails zum Passwort-Reset. Steckt ein Leak von 17,5 Millionen Daten dahinter oder nur ein technischer Fehler? Meta gibt Entwarnung, doch Experten raten zur Vorsicht. Das müsst ihr jetzt tun.
Sicherheit, Logo, Sicherheitslücke, Hacker, Security, Malware, Social Network, Hack, soziales Netzwerk, Social Media, Virus, Meta, Cybersecurity, Cybercrime, Hacking, Instagram, Cyberangriff
WinFuture / KI-generiert

Rätselhafte Flut an Reset-Mails

Am vergangenen Wochenende sorgte eine Welle von E-Mails für Unruhe: Unzählige Nutzer der Social-Media-Plattform Instagram berichteten über unaufgeforderte Benachrichtigungen, die zum Zurücksetzen des Passworts aufforderten. Die schiere Masse der Anfragen ließ schnell den Verdacht aufkommen, dass eine großangelegte Kompromittierung von Benutzerkonten im Gange sei.

Die Nervosität der Nutzer kommt nicht von ungefähr. Kurz vor der E-Mail-Welle war in einschlägigen Hacker-Foren ein vermeintlich neuer Datensatz aufgetaucht. Wie das Sicherheitsunternehmen Malwarebytes beobachtete, bot ein Nutzer unter dem Pseudonym "Solonik" am 7. Januar 2026 Daten von rund 17,5 Millionen Instagram-Profilen zum Kauf an.

Experten stellten daher schnell einen Zusammenhang zwischen dem angebotenen Datensatz und den massenhaften Reset-Anfragen her. Die Vermutung lag nahe, dass Kriminelle die erbeuteten E-Mail-Adressen nutzten, um das Rücksetzen der Passwörter automatisiert anzustoßen.

Instagram dementiert Sicherheitsleck

Trotz der Indizienkette weist der Plattformbetreiber einen systemseitigen Einbruch zurück. In einer offiziellen Stellungnahme äußerte sich Instagram am Sonntag zu den Vorfällen und erklärte, dass keine interne Sicherheitslücke ausgenutzt worden sei. Man habe lediglich einen Fehler behoben, der es einer "externen Partei" ermöglichte, diese E-Mails massenhaft auszulösen.

Wir haben ein Problem behoben, durch das externe Dritte für bestimmte Personen E-Mails zum Zurücksetzen des Passworts anfordern konnten. Es gab keinen Angriff auf unsere Systeme und eure Instagram-Konten sind sicher. Ihr könnt diese E-Mails ignorieren - entschuldigt bitte die Verwirrung.
Die Konten seien sicher und Nutzer könnten die Nachrichten ignorieren. Eine detaillierte Erklärung, wer diese externe Partei war oder wie genau der Mechanismus missbraucht wurde, blieb der Dienst allerdings schuldig.


Die technische Analyse der im Darknet kursierenden Daten (via Bleeping Computer) legt nahe, dass es sich hierbei um sogenanntes "Scraping" handelt - das automatisierte Abgreifen öffentlich oder über Schnittstellen zugänglicher Informationen. Laut Experten weisen die Datenstrukturen und spezifische JSON-Felder auf ein mögliches API-Leck hin.

Obwohl der Mutterkonzern Meta betont, dass keine API-Sicherheitsvorfälle aus der jüngeren Vergangenheit bekannt seien, ist die Historie des Unternehmens in dieser Hinsicht nicht makellos; bereits in den Jahren zuvor wurden Millionen Datensätze durch ähnliche Schnittstellenfehler abgegriffen.

Phishing-Gefahr durch Datensätze

Ein technisches Detail ist hierbei essenziell zur Beruhigung: Der geleakte Datensatz enthält nach aktuellen Erkenntnissen keine Passwörter. Ein direkter Login durch Dritte ist somit allein auf Basis dieser Daten nicht möglich. Dennoch ist Vorsicht geboten. Die Kombination aus E-Mail-Adressen, Telefonnummern und Nutzernamen ist ein idealer Nährboden für gezieltes Social Engineering, Phishing oder "Smishing" (Phishing per SMS).

Sicherheitsexperten raten dringend dazu, keinesfalls auf Links in den unaufgeforderten Reset-Mails zu klicken. Wer die Sicherheit seines Kontos erhöhen möchte, sollte die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Hierbei ist die Nutzung einer Authenticator-App dem SMS-Verfahren vorzuziehen, da letzteres anfälliger für SIM-Swapping-Angriffe ist.

Habt ihr am Wochenende auch diese dubiosen Reset-Mails erhalten oder blieb euer Postfach verschont? Glaubt ihr an einen harmlosen Bug oder steckt doch mehr dahinter? Schreibt uns eure Meinung dazu in die Kommentare!

Zusammenfassung
  • Massenhaft unaufgeforderte Passwort-Reset-E-Mails bei Instagram-Nutzern
  • Angeblicher Datensatz mit 17,5 Millionen Instagram-Profilen im Darknet
  • Instagram bestreitet Sicherheitslücke und spricht von technischem Fehler
  • Experten vermuten automatisiertes Abgreifen von Daten über API-Schnittstellen
  • Geleakte Daten enthalten keine Passwörter, ermöglichen aber Phishing-Angriffe
  • Nutzer sollten keine Links in den Reset-Mails anklicken
  • Aktivierung der Zwei-Faktor-Authentifizierung wird dringend empfohlen

Siehe auch:


Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!