Berichte über Instagram Datenleck (Jan. 2026)

Aktuell gehen Berichte auf X herum, die ein Datenleck bei Instagram postulieren. Sicherheitsanbieter Malwarebytes will auf eine Sammlung mit Daten von Instagram-Nutzern gestoßen sein. Diese müssen aus einem Vorfall aus dem Jahr 2024 stammen. Trittbrettfahrer versuchen das mittels Passwort-Reset-Angriffen auszunutzen. Hier einige Informationen dazu. Ergänzung: Instagram hat eine Lücke, die missbraucht wurde, geschlossen.

Eine kurze Meldung auf X

Der nachfolgende Tweet von Malwarebytes vom 9. Januar 2026 thematisiert das als Zusammenfassung:

Der obige Screenshot zeigt eine Aufforderung, das Passwort für das Instagram-Konto zurück zu setzen. Das könnte ein Betrugsversuch sein, sofern es nicht von Instagram kommt. Die Botschaft in obigem Post lautet, dass es eine Datensammlung gibt, und die Daten die Benutzernamen, physischer Adressen, Telefonnummern, E-Mail-Adressen und mehr umfassen.

Die ursprüngliche Malwarebytes-Meldung hier  besagt, dass Cyberkriminelle Nutzerdaten von 17,5 Millionen Instagram-Konten "erbeutet" haben sollen und diese im Darknet verkaufen möchten. Gleichzeitigt würden Instagram-Benutzer legitime Mitteilungen zum Zurücksetzen des Passworts erhalten. Ich habe mal den Text der ursprünglichen Malwarebyte-Meldung herausgezogen:

This week, Malwarebytes discovered that hackers stole the sensitive information of 17.5 million Instagram accounts. Complete with usernames, physical addresses, phone numbers, email addresses, and more, this data can be abused by cybercriminals to impersonate trusted brands, trick users, and steal their passwords.

Critically, this data is already being offered on the dark web, with individual users also receiving legitimate password reset notifications from Instagram.

Hört sich irgendwie auf den ersten Blick kritisch an, wenn es neue Daten sein sollten.

Sind alte Daten, die im Darknet angeboten werden

Von Instagram habe ich bei einer kurzen Suche nichts im Hinblick auf eine Nutzerwarnung gefunden. Der X-Account Hackmanac gibt an, dass die Daten bereits im Darknet angeboten würden (Screenshots der Darknet-Posts finden sich in diesem Beitrag).

In obigem Tweet äußert der Kanalinhaber die Vermutung, dass die gefundenen Datensätze aus einem Vorfall aus dem Jahr 2024 stammen. Jemand hat dann Daten deriviert und versucht das Ergebnis im Darknet zu verscherbeln. In diesem Beitragt hat jemand etwas ähnliche geschrieben. Fazit: Entwarnung für Instagram-Nutzer, es scheint nichts aktuelles zu sein, was nun die Runde macht.

Ergänzung: Ich habe Meldungen gelesen, dass erste Datensätze aus dem Datenleck bereits 2022 erzeugt wurden. Also altes Datenmaterial.

Trittbrettfahrer nutzen Passwort-Reset-Angriffe

Forbes berichtet in diesem aktualisierten Artikel, dass Trittbrettfahre die Meldungen zu Datenleck bei Instagram mit Offenlegung von Daten zu 17,5 Millionen Konten missbrauchen. Sie verschicken Mails mit Benachrichtigungen zum Zurücksetzen von Passwörtern and Nutzer der Social-Media-Plattform. Die Hoffnung ist, dass unvorsichtige Nutzer dann die Zugangsdaten herausrücken.

Instagram schließt Sicherheitslücke

Ergänzung: Instagram hat eine Lücke, die missbraucht wurde, geschlossen. Auf X gibt es folgenden Post des Instagram Social Media Teams:

We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure. You can ignore those emails — sorry for any confusion.

Hat mit obigem Datensatz nichts zu tun, sondern mit einer "Schwachstelle", die Dritten es ermöglichte, ein Passwort-Reset-E-Mail an Instagram-Konten zu senden.