Instagram: Millionen-Datensatz kursiert – Meta dementiert Hackerangriff
19.01.2026 - 06:53:12
Ein mutmaßlicher Datenabfluss bei Instagram mit sensiblen Informationen von 17,5 Millionen Konten verunsichert Nutzer. Der Mutterkonzern Meta bestreitet einen Einbruch in seine Systeme und verweist auf eine andere, behobene Schwachstelle.
Scraping statt Hackerangriff
Die Vorwürfe, die um den 7. Januar publik wurden, beschreiben keinen klassischen Hackerangriff. Vielmehr deutet alles auf „Scraping“ hin – das automatisierte Absammeln öffentlich zugänglicher oder über eine Programmierschnittstelle (API) abrufbarer Daten. Ein Bot könnte so über einen längeren Zeitraum Nutzerprofile systematisch ausgelesen haben. Der angebotene Datensatz trug den Titel „INSTAGRAM.COM 17M GLOBAL USERS – 2024 API LEAK“, was auf einen Abgriff bereits 2024 hindeutet.
Laut Berichten enthielt der Datensatz vollständige Namen, Benutzernamen, verifizierte E-Mail-Adressen, Telefonnummern und interne Nutzer-IDs. Passwörter sollen nicht Teil des Lecks sein. Doch bereits diese Informationen sind brandgefährlich: Sie bilden die perfekte Grundlage für gezielte Phishing-Angriffe und Social Engineering.
Passend zum Thema Datenabfluss und Phishing: Die Kombination aus geleakten Kontaktdaten und automatisiertem Scraping erhöht das Risiko gezielter Betrugsversuche massiv. Das kostenlose Anti-Phishing-Paket bietet eine praxisnahe 4‑Schritte-Anleitung mit Erkennungsmustern, konkreten Prüfchecklisten für verdächtige E‑Mails, Vorlagen für Meldungen und einfachen Gegenmaßnahmen, die Sie sofort anwenden können – auch ohne IT‑Vorkenntnisse. Schützen Sie sich und Ihre Kontakte jetzt proaktiv. Anti-Phishing-Guide jetzt herunterladen
Verwirrung durch Passwort-Reset-Welle
Die Verunsicherung wurde durch eine fast zeitgleich einsetzende Welle legitimer Passwort-Rücksetz-E-Mails verstärkt. Viele Nutzer deuteten dies als Bestätigung für einen direkten Angriff auf ihr Konto.
Meta stellte am 11. Januar klar: Die E-Mails stünden nicht im Zusammenhang mit dem kursierenden Datensatz. Stattdessen habe man eine separate Schwachstelle im Passwort-Reset-Mechanismus geschlossen. Diese habe es Dritten ermöglicht, Reset-Anfragen für fremde Konten auszulösen – ohne jedoch Zugriff auf diese zu erlangen. Das Unternehmen betonte erneut: „Es gab keinen Einbruch in unsere Systeme.“
API-Sicherheit bleibt Achillesferse
Der Vorfall wirft erneut ein Schlaglicht auf die Sicherheit von APIs. Diese Schnittstellen sind das Rückgrat der digitalen Wirtschaft, ermöglichen sie doch die Vernetzung von Diensten. Gleichzeitig sind sie ein beliebtes Einfallstor für Datensammler. Das Problem: Beim Scraping werden legitime Funktionen missbraucht, was schwerer zu erkennen ist als ein direkter Cyberangriff.
Die schiere Menge der betroffenen Daten legt nahe, dass die Abfragen über einen längeren Zeitraum unerkannt blieben. Trotz wiederholter Überarbeitungen der API-Sicherheit durch Meta zeigen solche Vorfälle die anhaltende Herausforderung.
Was Nutzer jetzt tun sollten
Auch ohne direkten Systemeinbruch sind die Konsequenzen für Betroffene real. Ihre Daten im Darknet erhöhen das Betrugsrisiko erheblich. Datenschutzexperten verweisen zudem auf mögliche Ansprüche nach der DSGVO, da bereits der Kontrollverlust über persönliche Daten einen immateriellen Schaden darstellen kann.
Für alle Nutzer gelten drei dringende Empfehlungen:
1. Passwort ändern: Vor allem, wenn es auch für andere Dienste genutzt wird.
2. Zwei-Faktor-Authentifizierung (2FA) aktivieren: Diese zusätzliche Sicherheitsebene ist essenziell.
3. Wachsam bleiben: Besondere Vorsicht bei unerwarteten Nachrichten, die zur Preisgabe von Daten oder zum Klicken auf Links auffordern.
Der Fall dürfte nun die Aufmerksamkeit der europäischen Datenschutzbehörden auf sich ziehen, die die Umstände und Metas Verantwortung genau prüfen werden.
PS: Wenn Ihre Daten bereits im Netz auftauchen, reicht ein Passwortwechsel oft nicht aus. Dieses Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie Phishing‑Mails sicher identifizieren, verdächtige Links neutralisieren und Angehörige oder Mitarbeiter schützen. Mit konkreten Handlungsempfehlungen für Privatpersonen und kleine Unternehmen können Sie kurzfristig Datenschäden minimieren und Betrugsversuche abwehren. Kostenlosen Anti-Phishing-Report sichern
