Instagram und andere Plattformen: Massenangriff mit „Zombie-Daten“

Millionen Nutzer weltweit werden von automatisierten Passwort-Reset-Attacken überflutet. Der Grund: Alte Datenlecks werden wiederbelebt und als Waffe eingesetzt.

Die erste Januarwoche 2026 bringt eine neue Welle von Cyberangriffen. Kriminelle nutzen alte, bereits bekannte Datensätze aus den Jahren 2024 und 2025, um massenhaft Passwort-Zurücksetzungen bei großen Plattformen auszulösen. Besonders betroffen sind Nutzer von Instagram. Das Ziel: Verwirrung stiften und Nutzer in Social-Engineering-Fallen locken.

Die Wiederbelebung schlafender Datenlecks

Auslöser der aktuellen Angriffswelle ist die erneute Veröffentlichung eines riesigen Datensatzes mit rund 17,5 Millionen Nutzerdatensätzen. Die Daten stammen ursprünglich aus einem API-Leck von 2024. Ein Nutzer mit dem Alias „Solonik“ stellte sie am 7. Januar 2026 erneut im Darknet-Forum „BreachForums“ ein.

Die Daten enthalten keine Passwörter, aber wertvolle Metadaten: Nutzernamen, E-Mail-Adressen, Telefonnummern und teilweise Adressen. Die sofortige Nutzung dieser „alten“ Daten zeigt einen Trend: Angreifer umgehen moderne Sicherheitsfilter, indem sie Archiv-Lecks reaktivieren. Diese Filter lassen oft bekannte, ältere Kompromittierungen passieren.

Passend zum Thema Wiederverwendung historischer Daten: Reset‑Bombing ist oft der Einstieg für größere Phishing‑Angriffe. Ein kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie verdächtige Reset‑E‑Mails erkennen, Mitarbeiter trainieren und automatische Abwehrmaßnahmen einrichten. Besonders nützlich für IT‑Verantwortliche und Support‑Teams, die Massenscamping und CEO‑Fraud verhindern wollen. Anti‑Phishing‑Paket jetzt gratis herunterladen

Ab dem Morgen des 8. Januar trafen weltweit legitim aussehende Passwort-Reset-E-Mails ein. Der Trick: Die E-Mails sind echt. Sie werden von den Plattformen selbst verschickt, nachdem Bots die geleakten Nutzernamen in die „Passwort vergessen“-Formulare eingegeben haben.

Die Taktik des „Reset-Bombing“

Sicherheitsexperten sprechen von einem klassischen „Reset-Bombing“ oder „MFA-Fatigue“-Angriff. Tausende automatische Zurücksetz-Anfragen verfolgen zwei Ziele:

1. Diebstahl durch Panik: Die Flut offizieller E-Mails erzeugt Dringlichkeit. Nutzer klicken in der Sorge um ihr Konto auf Links in gefälschten „Support“-Portalen und geben so ihre echten Passwörter preis.
2. Überlastung der Support-Systeme: In Unternehmen sollen legitime Warnungen unter Spam begraben oder Nutzer so genervt werden, dass sie Sicherheitsfeatures abschalten.

Die Analyse der letzten 48 Stunden zeigt: Die Angreifer nutzen den 2024er-Datensatz, um zu testen, welche Konten noch aktiv sind. Das Leck von „Solonik“ liefert eine verifizierte Zielliste.

Reaktionen der Plattformen und Parallelen

Meta, Mutterkonzern von Instagram, reagierte am Sonntag, den 11. Januar, auf die Spekulationen. In einer Stellungnahme betonte das Unternehmen, es gebe keine neue Sicherheitslücke in den eigenen Systemen. Stattdessen bestätigte Meta ein Problem, das es externen Akteuren ermöglichte, die Massen-E-Mails auszulösen. Ein Fix zur Drosselung solcher Anfragen sei implementiert.

Das Incident hat Parallelen. In Neuseeland zwangen ähnliche Drohungen mit historischen Daten die Gesundheitsplattform ManageMyHealth am 9. Januar, über 125.000 Nutzerkonten vorsorglich zurückzusetzen. Obwohl kein neuer Einbruch gefunden wurde, zeigt sich: Die „Wiederbelebung“ alter Daten wird zum massiven Störfaktor für Unternehmen.

Ein Bericht der Sicherheitsfirma Hudson Rock vom 6. Januar unterstreicht diesen Trend. Die dort beschriebene Gruppe „Zestix“ agiert als „Initial Access Broker“: Sie verkauft Zugang zu Firmennetzwerken, indem sie Zugangsdaten aus alten Info-Stealer-Logs verifiziert. Das Geschäft mit „vintage“-Daten boomt – der Wert liegt nicht in der Neuheit des Lecks, sondern in der automatisierten Prüfung seiner Gültigkeit.

Analyse: Die Ökonomie der „Zombie-Daten“

Die Ereignisse zeigen eine kritische Entwicklung in der Cyberkriminalität. Früher galten öffentlich gewordene Datenlecks als „verbrannt“. Heute bleibt die Identitätsdaten (E-Mails, Nutzernamen) eine permanente Waffe.

Analysten sprechen von „Zombie-Daten“ – monate- oder jahrealte Leaks, die in KI-gesteuerte Tools eingespeist werden. Diese umgehen CAPTCHAs und Drosselungen. Der Fokus der Angreifer hat sich verschoben: Statt Passwörter zu knacken, umgehen sie sie durch Social Engineering. Die geleakten Daten schaffen den nötigen Vertrauensvorschuss oder die Krisenstimmung.

Für Unternehmen bedeutet das: Compliance ist nicht mehr nur der Schutz aktueller Systeme. Sie müssen aktiv überwachen, wie historische Datenlecks ihres Unternehmens neu verwendet werden. Für Verbraucher ist der Unterschied zwischen einem „neuen Leck“ und der „Wiederbelebung eines alten“ irrelevant – die Störung und das Risiko sind dieselben.

Ausblick: Der Kampf wird automatisiert

Für das erste Quartal 2026 prognostizieren Experten einen weiteren Anstieg solcher „Nervtötungs“-Angriffe. Da große Plattformen die direkte Anmeldung mit Passkeys und Biometrie absichern, rücken die Wiederherstellungsverfahren – die „Passwort vergessen“-Mechanismen – als schwächstes Glied in den Fokus.

Die erwarteten Gegenmaßnahmen:
* Strengere Drosselung: Plattformen werden „Cool-down“-Zeiten für Reset-Anfragen verschärfen.
* Authentifizierung vor dem Reset: Vor dem Versand einer Reset-E-Mail wird eine Teil-Authentifizierung (z.B. per SMS-Code) erforderlich.
* KI gegen KI: Sicherheitsanbieter setzen KI-Modelle ein, um nutzerinitiierte von bot-getriebenen Anfragen anhand von Verhaltensanalysen zu unterscheiden.

Der Rat für Unternehmen und Privatpersonen bleibt vorerst gleich: Seriöse Dienste fragen nie per E-Mail nach Passwörtern. Unaufgeforderte Reset-Benachrichtigungen sollte man ignorieren – und niemals auf Links darin klicken.

PS: Unternehmen und Privatpersonen sind gleichermaßen bedroht – einfache Maßnahmen reichen oft, um Reset‑Bombing und Phishing zu stoppen. Der Gratis‑Guide zeigt konkrete Gegenmaßnahmen, psychologische Angriffsmuster und Vorlagen für Schulungen, damit Supportanfragen seltener Opfer werden. Holen Sie sich das Paket und sichern Sie Konten, bevor Angreifer die nächste Leaks‑Welle nutzen. Anti‑Phishing‑Paket kostenlos sichern