itchaznong / stock.adobe.com
Das Wichtigste in Kürze:
- Millionen Profildaten wie Nutzernamen und E-Mail-Adressen wurden automatisiert ausgelesen und kursieren in Untergrundforen. Passwörter sind nicht betroffen.
- Die Folge könnten täuschend echte Phishing-Mails sein, die Ihre persönlichen Daten verwenden.
- Ändern Sie vorsorglich Ihr Passwort und aktivieren Sie die Zwei-Faktor-Authentifizierung.
Was ist passiert?
Anfang Januar 2026 erschien in einem Hackerforum ein Datensatz mit Informationen zu mehreren Millionen Instagram-Profilen. Die Daten wurden durch automatisiertes Auslesen von Programmierschnittstellen gewonnen – ein Vorgang, der als Scraping bezeichnet wird.
Enthalten sind Profilnamen, angezeigter Name und manchmal auch Standortangaben. Soweit bekannt, befinden sich keine Passwörter oder ähnlich kritische Zugangsinformationen in dem Datensatz.
Wieso bekomme ich eine Mail zum Zurücksetzen des Passworts?
Kriminelle könnten getestet haben, ob Ihre E-Mail-Adresse zu einem Instagram-Konto gehört. Denn jede Person kann auf der Anmeldeseite auf "Passwort vergessen" klicken und eine E-Mail-Adresse eingeben. Wenn es zu der Adresse ein Instagram-Konto gibt, steht nach der Eingabe auf der Seite die Info: "Wir haben dir per E-Mail an xxx einen Link gesendet, mit dem du wieder Zugriff auf dein Konto erhältst." Die Kriminellen wissen dadurch, dass die E-Mail-Adresse echt und mit dem entsprechenden Instagram-Account verknüpft ist und können sie zum Beispiel im Darknet teurer verkaufen.
Welche Gefahren drohen Ihnen?
- Phishing-Angriffe: Mit den geleakten Daten können Kriminelle täuschend echte Nachrichten versenden – per E-Mail, SMS oder über Messenger-Dienste –, die vorgeben, von Instagram zu stammen. Da diese Nachrichten Ihren echten Nutzernamen und weitere persönliche Details enthalten, wirken sie besonders glaubwürdig und könnten Sie zur Preisgabe weiterer Informationen verleiten.
- Identitätsdiebstahl: Betrüger könnten mit den gestohlenen Informationen Fake-Profile erstellen, die Ihr echtes Profil nachahmen. Diese gefälschten Konten werden dann möglicherweise genutzt, um in Ihrem Namen Kontakte anzuschreiben oder Betrugsmaschen durchzuführen.
So schützen Sie Ihr Konto
- Zurücksetzungs-Mails ohne eigene Anfrage ignorieren: Haben Sie eine solche E-Mail bekommen, ohne dass Sie sie angefordert haben? Dann können Sie sie einfach löschen. Instagram rät dazu, in diesem Fall nichts zu unternehmen.
- Kennwort erneuern: Nutzen Sie ein individuelles, starkes Passwort für Instagram. Nutzen Sie es nirgendwo sonst. Wer eine unverlangete Zurücksetzungs-Mail erhalten hat und sich unsicher ist, sollte aus Vorsicht das Kennwort ändern.
- Zwei-Faktor-Authentifizierung einschalten: Diese zusätzliche Sicherheitsstufe macht es Angreifern sehr viel schwerer, auf Ihr Konto zuzugreifen – selbst wenn das Passwort bekannt wäre. Verwenden Sie dafür am besten eine Authenticator-App, nicht SMS.
- Login-Aktivität kontrollieren: In den Einstellungen unter "Sicherheit" finden Sie die "Login-Aktivität". Prüfen Sie, ob unbekannte Geräte oder fremde Orte auftauchen. Im Accounts-Center von Meta sehen Sie, welche Geräte bei welchen Diensten des Konzerns angemeldet sind.
- Betroffenheit prüfen: Dienste wie Have I Been Pwned oder der Identity Leak Checker des Hasso-Plattner-Instituts zeigen kostenfrei, ob Ihre E-Mail-Adresse in bekannten Datenlecks vorkommt.
- Links in E-Mails meiden: Nehmen Sie Änderungen an Ihrem Profil ausschließlich direkt in der Instagram-App oder auf der echten Webseite vor. Klicken Sie keine Links in E-Mails an, die angeblich von Instagram kommen.
- Passwort-Manager oder Passkeys verwenden: Solche Werkzeuge helfen beim sicheren Verwalten starker Kennwörter und erhöhen die Sicherheit deutlich.
- Schutzsoftware aktualisieren: Halten Sie Ihre Antiviren-Software auf dem neuesten Stand, damit sie Schadsoftware erkennt, die Zugangsdaten abfangen könnte.
