Instagram: Millionen Nutzer nach Datenleck in Sorge

Ein massives Datenleck und eine Welle unerwünschter Passwort-Zurücksetz-E-Mails haben Millionen Instagram-Nutzer weltweit in Alarmbereitschaft versetzt. Die Veröffentlichung sensibler Daten von rund 17,5 Millionen Konten im Darknet weckt Befürchtungen vor gezielten Phishing-Angriffen und Konten-Übernahmen.

Die Verunsicherung begann diese Woche, als Nutzer plötzlich eine Flut offiziell aussehender Passwort-Zurücksetz-Mails erhielten. Kurz darauf bestätigten Sicherheitsforscher ein riesiges Datenpaket auf dem Cybercrime-Forum BreachForums. Die Muttergesellschaft Meta bestreitet einen direkten Hackerangriff auf ihre Systeme. Stattdessen handle es sich um gescrapte Daten und einen Fehler, der die E-Mail-Welle auslöste – ein Problem, das inzwischen behoben sei. Doch für die Betroffenen bleibt ein erhebliches Sicherheitsrisiko.

Doppelter Schock: Datenleck und E-Mail-Flut

Die Verwirrung war perfekt: Zuerst erreichten Nutzer authentische Warnmails von security@mail.instagram.com. Viele fürchteten einen akuten Hackerangriff auf ihr Konto. Parallel tauchte im Darknet ein Datensatz mit Informationen zu 17,5 Millionen Konten auf, veröffentlicht von einem Nutzer namens „Solonik“.

Die geschilderte E-Mail‑Flut und das Auftauchen persönlicher Daten im Darknet sind klassische Startpunkte für erfolgreiche Phishing-Attacken. Ein kostenloses Anti‑Phishing‑Paket zeigt in einer klaren 4‑Schritte‑Anleitung, wie Sie gefälschte Passwort‑Mails erkennen, Links sicher prüfen und welche Sofortmaßnahmen Schutz bieten – konkret für Social‑Media‑Konten wie Instagram. Jetzt Anti‑Phishing‑Paket herunterladen

Die geleakten Daten umfassen:
* Nutzernamen und vollständige Namen
* E-Mail-Adressen
* Telefonnummern
* In einigen Fällen auch teilweise Adressen und Geolokationsdaten

Kritisch: Passwörter waren laut Sicherheitsexperten nicht Teil des Leaks. Doch die Kombination aus persönlichen Daten und der gezielten Verunsicherung durch E-Mails schafft eine gefährliche Angriffsgrundlage.

Ursprung: Datensammlung statt Hackerangriff

Meta betont, die eigenen Kernsysteme seien nicht gehackt worden. Vielmehr stamme der veröffentlichte Datensatz höchstwahrscheinlich aus „Data Scraping“ – einer automatisierten Methode, bei der Bots öffentlich zugängliche Informationen in großem Stil sammeln. Der Threat Actor sprach selbst von einem „2024 API Leak“.

Die zeitliche Koinzidenz ist kein Zufall: Sicherheitsexperten gehen davon aus, dass Kriminelle die geleakten E-Mail-Adressen nutzten, um massenhaft die „Passwort vergessen“-Funktion bei Instagram zu missbrauchen. Dies löste die legitime, aber unerwünschte E-Mail-Flut aus.

Die eigentliche Gefahr: Phishing und Credential Stuffing

Auch ohne Passwörter ist das Datenleck brandgefährlich. Das Ziel der E-Mail-Welle ist klar: Sie soll Panik und Verwirrung stiften. In der Hektik könnten Nutzer versehentlich einen Login-Versuch bestätigen oder auf Links in gefälschten Folgemails klicken, die als offizielle Instagram-Kommunikation getarnt sind.

Die langfristige Bedrohung heißt „Credential Stuffing“. Dabei testen Angreifer die geleakten Nutzernamen und E-Mails mit automatisierten Skripten gegen Instagram und andere Dienste – kombiniert mit häufig genutzten oder aus früheren Leaks bekannten Passwörtern. Wer sein Passwort für mehrere Dienste nutzt, riskiert so eine Kettenreaktion kompromittierter Konten.

So schützen Sie sich jetzt

Instagram hat den Fehler behoben, der die E-Mail-Welle auslöste, und riet in einem Post auf X (ehemals Twitter), die Nachrichten zu ignorieren. Angesichts des Datenlecks reicht das nicht. Nutzer sollten aktiv werden:

• Keine Links anklicken: Klicken Sie in unerwünschten Passwort-Mails auf keinen Fall auf Links. Gehen Sie für Änderungen direkt zur Instagram-App oder -Website.
• Zwei-Faktor-Authentifizierung aktivieren: Diese MFA ist der wirksamste Schutz. Ein zusätzlicher Code aus einer Authenticator-App macht Konten auch bei bekanntem Passwort extrem sicher.
• Einzigartiges, starkes Passwort nutzen: Verwenden Sie für Instagram ein Passwort, das Sie nirgendwo sonst benutzen. Ein Passwortmanager hilft bei der Verwaltung.
• Offizielle Kommunikation prüfen: In den Sicherheitseinstellungen finden Sie „E-Mails von Instagram“. Dort sehen Sie alle legitimen Nachrichten der Plattform.
• Verbundene Apps überprüfen: Die Daten könnten über Drittanbieter-Dienste gesammelt worden sein. Entfernen Sie unbekannte oder nicht mehr genutzte Apps aus den Account-Verbindungen.