Ein massiver Datenleck-Vorfall bei Instagram hat die persönlichen Informationen von rund 17,5 Millionen Nutzern kompromittiert und für erhebliche Besorgnis und Empörung in sozialen Netzwerken gesorgt. Laut einem separaten Bericht des Sicherheitsunternehmens Malwarebytes wurden die Daten auf einem der größten Hackerforen im Dark Web veröffentlicht.
Die Krise begann, als Millionen von Nutzern weltweit E-Mails erhielten, angeblich von Instagram, die zur Zurücksetzung ihrer Passwörter aufforderten. Schnell stellte sich heraus, dass es sich um Phishing-Mails handelte, die von den Hackern versendet wurden, um Nutzerdaten zu sammeln.
Laut Malwarebytes umfassten die geleakten Informationen Benutzernamen, Adressen, Telefonnummern, E-Mail-Adressen und weitere Kontaktdaten. Die Hacker hatten diese Daten offenbar bereits seit 2024 gesammelt.
Meta erkannte die Sicherheitslücke offenbar erst kürzlich. Instagram bestätigte über den X-Account der Plattform, dass der Vorfall auf einen technischen Fehler zurückzuführen sei, der es erlaubte, Passwörter zurückzusetzen, ohne direkt auf die Konten zuzugreifen. Das Problem wurde inzwischen behoben, sodass Passwörter nur noch vom tatsächlichen Kontoinhaber zurückgesetzt werden können.
Viele betroffene Nutzer berichteten in Videos von ihren Erfahrungen und warnten andere vor ähnlichen Angriffen. Besonders problematisch war, dass Instagram Telefonnummern und E-Mail-Adressen mit Konten über eine API verknüpfte, die Freundesvorschläge anhand gemeinsamer Kontakte ermöglichte.
Die Hacker nutzten automatisierte Programme, um Millionen von Anfragen zur Verknüpfung von Kontakten innerhalb weniger Sekunden zu senden. So konnten sie Telefonnummern, E-Mails, Benutzernamen, Profilbilder und weitere persönliche Daten miteinander verbinden und eine umfassende Datenbank für Millionen von Nutzern erstellen.
Die Sendung „Netzwerke“ am 12. Januar 2026 berichtete über die Reaktionen der Plattformen und die Besorgnis der Nutzer über Phishing-Versuche nach dem Leck.
Der Aktivist Abdelaziz berichtete über seine persönliche Erfahrung: „Ich erhielt eine E-Mail, dass ich mein Passwort ändern sollte. Danach stellte ich fest, dass die E-Mail nicht meine war. Ich wusste nicht, was ich tun sollte.“
Ein weiterer Nutzer, Asad, äußerte seine Bestürzung über die Leichtigkeit, mit der Hacker an die Daten eines riesigen Unternehmens gelangen konnten: „Ich habe meine Daten Gott anvertraut. Ich glaube, ich bin in die Falle getappt. Wie konnte so ein großes Unternehmen so viele Informationen verlieren?“
Die Aktivistin Lamar beschwerte sich über wiederkehrende Datenlecks: „Wir sind müde davon, ständig unsere Passwörter ändern zu müssen. Am besten löscht man einfach die Konten.“
Die Bloggerin Hadeel kritisierte die Verschwiegenheit von Meta: „Seit 2024 wusste Meta von dem Leck und hat uns nicht informiert. Ohne die Enthüllungen der Nutzer wäre nichts passiert. Ich traue der Plattform jetzt nicht mehr.“
