000 Instagram-Konten ermöglicht. Der Vorfall wirft erneut Fragen zur Sicherheit von Social-Media-Plattformen auf.
Die Lücke im System
Zwischen dem 17. April und dem 31. Mai 2026 nutzten Hacker einen Fehler im sogenannten „High Touch Support“ (HTS)-Tool aus. Dabei handelt es sich um einen KI-Chatbot, der eigentlich bei der Account-Wiederherstellung helfen soll. Die Angreifer täuschten über VPNs ihren Standort vor und brachten das System dazu, fremde E-Mail-Adressen mit den Zielkonten zu verknüpfen.
Der aktuelle Instagram-Hack zeigt, wie verwundbar Online-Konten selbst bei großen Plattformen sind. Schützen Sie Ihre Zugänge jetzt mit der sichersten Methode und erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, WhatsApp und Co. sofort einrichten. Kostenlosen Passkey-Ratgeber herunterladen
Das Problem: Der KI-Assistent prüfte nicht, ob die neuen E-Mail-Adressen tatsächlich den rechtmäßigen Account-Inhabern gehörten. Stattdessen versandte er blind Passwort-Reset-Links an die von den Hackern kontrollierten Adressen. Insgesamt 20.225 Instagram-Profile fielen dem Angriff zum Opfer.
Zweifaktor-Authentifizierung als Schutzschild
Meta bestätigte, dass die Sicherheitslücke besonders dort wirkte, wo keine Zwei-Faktor-Authentifizierung (2FA) aktiviert war. Accounts mit diesem zusätzlichen Schutzschild blieben weitgehend verschont – die Hacker scheiterten an der zweiten Sicherheitsstufe.
Die Angreifer hatten es auf prominente Ziele abgesehen. Darunter: das offizielle Obama-White-House-Profil, ein hochrangiger Angehöriger der US-Weltraumstreitkräfte (Space Force) und die Kosmetikkette Sephora. Branchenkreisen zufolge wurden einige der gekaperten Profile anschließend im Darknet zum Verkauf angeboten.
Welche Daten abflossen
Bei den erfolgreich kompromittierten Konten könnten private Nachrichten, Kontaktdaten, Geburtsdaten und allgemeine Profilinformationen in falsche Hände geraten sein. Meta reichte am 5. Juni 2026 eine offizielle Sicherheitsmeldung bei der zuständigen Behörde in Maine ein. Demnach waren unter den Betroffenen rund 30 Nutzer aus diesem Bundesstaat.
Metas Reaktion und Konsequenzen
Nach der Entdeckung der Schwachstelle Ende Mai schaltete Meta das HTS-Tool sofort ab und schloss die Sicherheitslücke. Das Unternehmen machte zudem alle während des Angriffszeitraums generierten Passwort-Reset-Links ungültig. Betroffene Accounts wurden gezwungen, Sicherheitschecks zu durchlaufen oder ihr Passwort zurückzusetzen.
Allein in Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt – ein Risiko, das durch veraltete Passwörter massiv steigt. Computerwissen erklärt in diesem Gratis-Leitfaden die sichere Alternative, die Hackern keine Chance mehr lässt. Sichere Alternative zu Passwörtern gratis nachlesen
Ab dem 19. Juni 2026 will Meta alle betroffenen Nutzer offiziell informieren. Sicherheitsexperten raten Instagram-Usern eindringlich, die Zwei-Faktor-Authentifizierung zu aktivieren – der beste Schutz gegen Angriffe, die auf Passwort-Weiterleitungen setzen.
Größere Zusammenhänge
Der Vorfall ist nicht der erste seiner Art bei Meta. Erst am 23. April 2026 hatte der Konzern Threads, Meta AI und verschiedene Wearables in ein einheitliches Accounts Center integriert. Diese Zusammenführung brachte zwar neue Sicherheitsfunktionen wie plattformübergreifend verschlüsselte Login-Standorte, schuf aber auch neue Angriffsflächen.
Unterdessen verschärft sich der regulatorische Druck auf Meta und andere Plattformen. Bangladesch etwa kündigte am 8. Juni 2026 an, sein Cyber Security Act zu novellieren. Künftig sollen soziale Netzwerke verpflichtet werden, als schädlich eingestufte Inhalte innerhalb von 24 Stunden zu entfernen. Ein weiteres Zeichen dafür, dass die Sicherheit von Nutzerdaten zunehmend zur Chefsache wird – nicht nur in den USA, sondern weltweit.
