Die Betreiber von Instagram haben eine Schwachstelle geschlossen, über die Angreifer automatisiert Massen-E-Mails zum Zurücksetzen von Passwörtern auslösen konnten. Parallel dazu ist im Cybercrime-Umfeld ein umfangreicher Dump mit Daten von rund 17,5 Millionen Instagram-Konten aufgetaucht. Zusammen werfen beide Vorfälle ein Schlaglicht auf die wachsenden Risiken durch Scraping, Social Engineering und zielgerichtetes Phishing.
Instagram-Sicherheitsvorfall: Missbrauch der Passwort-zurücksetzen-Funktion
Nach Angaben von BleepingComputer hat Meta bestätigt, dass eine Schwachstelle im System zur Passwortwiederherstellung behoben wurde. Fremde konnten darüber automatisiert E-Mails zum Zurücksetzen des Passworts an Instagram-Nutzer auslösen. Wichtig ist: Die Konten selbst wurden darüber nicht direkt übernommen; ohne aktiven Klick des Nutzers auf den Link in der E-Mail findet kein Passwortwechsel statt.
Meta betont, dass die Infrastruktur von Instagram nicht kompromittiert wurde und die bekannten Schutzmechanismen weiterhin greifen. Nutzer, die unaufgefordert eine Reset-E-Mail erhalten, können diese grundsätzlich ignorieren. Ein Kontoübernahme-Risiko entsteht erst, wenn der Empfänger eigenständig auf den Link klickt und den Prozess abschließt.
Dennoch ist diese Schwachstelle sicherheitsrelevant. Wie die Praxis zeigt, setzen Angreifer solche Mechanismen gezielt ein, um Verunsicherung zu erzeugen und Social-Engineering-Angriffe vorzubereiten. Eine Flut legitimer System-E-Mails kann als „Rauschen“ dienen, hinter dem sich täuschend echt gestaltete Phishing-Nachrichten verbergen. Laut dem Verizon Data Breach Investigations Report 2023 sind bei rund 74 % der Sicherheitsvorfälle menschliche Faktoren wie Fehlklicks und Social Engineering beteiligt – genau diesen Hebel nutzen Angreifer hier aus.
Datenbank mit 17,5 Millionen Instagram-Accounts im Umlauf
Parallel zur Behebung der Schwachstelle berichten Forscher von Malwarebytes über einen frei verfügbaren Datensatz mit Informationen zu über 17 Millionen Instagram-Profilen. Der Dump wird in Untergrundforen als Ergebnis einer „Instagram-API-Lücke 2024“ beworben und kostenlos verteilt.
Welche Daten im Instagram-Dump kursieren
Der Datensatz soll Informationen zu 17 017 213 Accounts enthalten. Je nach Eintrag finden sich darin unter anderem:
– Telefonnummern
– Benutzernamen (Username)
– Klarnamen
– physische Adressen
– E-Mail-Adressen
– eindeutige Instagram-IDs
Nicht alle Datensätze sind vollständig; bei einem Teil liegen nur Instagram-ID und Username vor. Das Muster entspricht typischen Aggregationsdatenbanken, die über längere Zeit aus verschiedenen Quellen – etwa öffentlichen Profilen, älteren Leaks und Scraping-Aktionen – zusammengetragen werden.
Der Anbieter des Dumps behauptet, die Daten seien 2024 über eine API-Schwachstelle gewonnen worden. Mehrere Sicherheitsexperten halten es jedoch für plausibel, dass große Teile der Informationen bereits seit etwa 2022 oder früher kursieren und überwiegend auf massivem Scraping sowie älteren API-Missbräuchen (ab 2017) basieren. Meta erklärt, dem Unternehmen seien keine bestätigten API-Kompromittierungen in den Jahren 2022 oder 2024 bekannt. Technische Beweise, die eindeutig für einen aktuellen direkten Hack oder ausschließlich für Scraping sprechen, liegen öffentlich bislang nicht vor.
API-Leck oder Scraping: Einordnung aus Sicht der Cybersicherheit
Aus technischer Sicht ist zwischen einem Datenleck durch Kompromittierung und Scraping zu unterscheiden. Bei einem echten Hack erlangen Angreifer Zugriff auf nicht öffentliche Daten, etwa Passwort-Hashes, Zugangstokens oder interne Profilfelder. Daraus resultiert ein erhöhtes Risiko für Kontoübernahmen, Credential-Stuffing und zielgerichtete Angriffe.
Beim Scraping werden in der Regel öffentliche oder halböffentliche Informationen in großem Stil automatisiert ausgelesen. Der Sicherheitsperimeter des Dienstes wird formal nicht durchbrochen, dennoch entstehen für Betroffene erhebliche Risiken: präzisere Phishing-Kampagnen, Social-Engineering-Angriffe, Identitätsdiebstahl oder Erpressungsversuche auf Basis kombinierter Daten wie E-Mail, Telefonnummer, Name und Adresse.
Die Struktur des vorliegenden Instagram-Dumps – insbesondere die Kombination aus Kontaktinformationen und öffentlich sichtbaren Profilangaben – passt gut zu einem Szenario großflächigen Scrapings und Datenrecyclings über mehrere Jahre. Unabhängig vom technischen Ursprung ist der praktische Effekt für Nutzer jedoch nahezu identisch: Ihre Daten können dauerhaft in kriminellen Ökosystemen zirkulieren.
Konkrete Risiken und Schutzmassnahmen für Instagram-Nutzer
Besonders kritisch ist die Kombination aus E-Mail-Adresse, Telefonnummer, Name, Username und physischer Adresse. Damit lassen sich täuschend echte Nachrichten konstruieren, die scheinbar von Instagram, Paketdiensten oder Banken stammen. ENISA und andere Sicherheitsbehörden warnen seit Jahren, dass solche hochgradig personalisierten Phishing-Mails deutlich höhere Erfolgsquoten erzielen als Massenmails.
1. Unerwartete Passwort-Reset-Mails ignorieren. Wenn Sie keine Passwortzurücksetzung angefordert haben, klicken Sie nicht auf den Link. Rufen Sie Instagram ausschließlich über die offizielle App oder die URL im Browser auf und prüfen Sie dort Ihr Konto.
2. Zwei-Faktor-Authentifizierung (2FA) aktivieren. Nutzen Sie nach Möglichkeit eine Authenticator-App statt SMS, um Risiken durch SIM-Swapping oder SMS-Abgriff zu reduzieren. 2FA erschwert eine Kontoübernahme selbst dann, wenn Zugangsdaten bekannt geworden sind.
3. Einzigartige, starke Passwörter verwenden. Ein Passwort-Manager hilft, lange und komplexe Kennwörter zu generieren und nicht mehrfach zu verwenden. So verhindern Sie, dass ein Leak bei einem Dienst unmittelbar auch andere Konten gefährdet.
4. Sichtbarkeit persönlicher Daten begrenzen. Überprüfen Sie die Privatsphäre-Einstellungen Ihres Instagram-Profils. Reduzieren Sie öffentlich sichtbare Kontaktinformationen wie Telefonnummer oder geschäftliche E-Mail, insbesondere wenn diese auch für die Kontowiederherstellung eingesetzt werden.
5. Nachrichten mit persönlichen Details kritisch prüfen. Der Umstand, dass eine E-Mail Ihren Namen, Username oder Ihre Telefonnummer korrekt verwendet, ist kein Beweis für Legitimität. Kontrollieren Sie die Absenderadresse, vermeiden Sie Klicks auf verkürzte oder verdächtige Links und verifizieren Sie wichtige Mitteilungen direkt über die offizielle Website oder den Support.
Die aktuellen Vorgänge um den Missbrauch der Passwort-zurücksetzen-Funktion und den Dump von 17,5 Millionen Instagram-Accounts zeigen deutlich, wie eng technische Schwachstellen, Scraping und Social Engineering zusammenwirken. Selbst ohne offenkundigen Systemhack können personenbezogene Daten in großem Umfang in kriminelle Hände geraten und dort langfristig missbraucht werden. Wer konsequent auf starke, einzigartige Passwörter, 2FA, minimierte Profilangaben und eine gesunde Skepsis bei allen Anfragen zur Eingabe von Zugangsdaten setzt, reduziert das persönliche Risiko erheblich – und trägt zugleich dazu bei, dass solche Vorfälle seltener in erfolgreiche Angriffe münden.
