API Leak: Millionen Instagram-Kundendaten landen im Dark Web
Laut Berichten wurden im November 2024 Daten von rund 17,5 Millionen Instagram-Accounts abgegriffen. Das wird erst jetzt bekannt, da die Daten nun im Dark Web zirkulieren. Neben Namen und E-Mail-Adressen sollen auch Telefonnummern und zumindest teilweise Geodaten zum Datensatz gehören.
Über 17 Millionen Accounts betroffen
Das berichtet Cyber Press und beruft sich auf Hinweise der Sicherheitsfirma Malwarebytes sowie eine Verifizierung der Daten über Postings im Dark Web, die als Screenshots vorliegen. Die von unbekannten Angreifern erbeutete Datensammlung wird dort unter dem Titel „INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK“ feilgeboten. Sie soll 17,5 Millionen Einträge umfassen.
Nachfolgend werden die laut dem Bericht entwendeten Daten der betroffenen Instagram-User-Accounts aufgelistet. Laut der Plattform Have I been Pwned seien von den erbeuteten Account-Daten nur 6,2 Millionen mit einer E-Mail-Adresse verknüpft gewesen und nur „einige“ sollen eine Telefonnummer enthalten.
- Vollständige Namen und Nutzernamen
- Verifizierte E-Mail-Adressen
- Telefonnummern
- Nutzer-IDs
- Länderinformationen und partielle Geodaten
Kein Hack, sondern eine API-Schwachstelle
Der oder die Angreifer behaupten, dass die Daten über eine Schwachstelle in den Programmierschnittstellen (API) des sozialen Netzwerks abgegriffen werden konnten. Um einen Hack soll es sich demnach nicht handeln. Dass Instagram kurz nach dem Bericht über eine Schwachstelle informierte (siehe X-Posting), über die Dritte Passwort-Resets anderer anfordern konnten, habe nach bisheriger Kenntnis nichts mit diesem Vorfall zu tun.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
— Instagram (@instagram) January 11, 2026
You can ignore those emails — sorry for any confusion.
So oder so hätten jüngst zahlreiche Instagram-User darüber geklagt, „eine Flut“ unerwünschter Benachrichtigungen zum Zurücksetzen ihres Passworts erhalten zu haben, berichtet Cyber Press weiter.
Risiken und Lösungen
Zudem genüge die Kombination aus E-Mail-Adressen und Telefonnummern für sogenannte „SIM-Swapping“-Angriffe. Zudem könnten verstärkt Phishing-Mails bei den Betroffenen eintreffen, in denen sich Betrüger etwa als Mitarbeiter des Instagram-Support ausgeben und damit versuchen, Anmeldeinformationen preiszugeben.
„Cybersicherheitsexperten raten allen Instagram-Nutzern dringend, die Multi-Faktor-Authentifizierung (MFA) umgehend per Authentifizierungs-App anstelle von SMS zu aktivieren und unaufgefordert zugesandte E-Mails zum Zurücksetzen des Passworts zu ignorieren“, heißt es abschließend.
Die Redaktion dankt Community-Mitglied „KeinNutzerName“ für den Hinweis.
