Instagram-Datenleck: Daten von 6,2 Millionen Konten bei Have-I-Been-Pwned

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Bösartige Akteure haben mittels Scraping durch Instagram-Zugriffsschnittstellen (APIs) Daten von 6,2 Millionen Nutzerinnen und Nutzern des Dienstes abgegriffen und in einem Untergrundforum angeboten. Nun sind sie in der Datenbank des Have-I-Been-Pwned-Projekts (HIBP) gelandet und lassen sich dort auffinden. Zudem sind rund 672.000 Datensätze von Nutzern des Untergrundforums BreachForums dort gelandet.

Das meldet Betreiber Troy Hunt auf der Have-I-Been-Pwned-Webseite. Demnach hat ein Nutzer in einem Untergrundforum einen Datensatz mit 17 Millionen Einträgen von öffentlich zugreifbaren Instagram-Informationen angeboten. Die Daten sollen über Instagram-APIs mittels Scraping abgegriffen worden sein und aus dem Jahr 2024 stammen. Sie umfassen Nutzernamen, Anzeigenamen, Konto-IDs und in einigen Fällen geografische Daten. „Von diesen Einträgen enthielten 6,2 Millionen eine E-Mail-Adresse und einige zudem eine Telefonnummer“, schreibt Hunt. „Es gibt keine Hinweise darauf, dass Passwörter oder andere sensible Informationen kompromittiert wurden“.

Solche Informationen lassen sich insbesondere außerhalb Deutschlands leicht für SIM-Swapping-Angriffe missbrauchen, bei denen Kriminelle die Mobilnummer von Opfern kapern und damit dann Einkäufe oder andere kriminelle Aktionen tätigen. In Deutschland sind Provider unter Umständen haftbar, weshalb sie Maßnahmen ergreifen, sodass SIM-Swapping hierzulande kein signifikantes Problem darstellt.

Das Leck mit den älteren Daten hat jedoch nichts damit zu tun, dass Instagram-Nutzerinnen und Nutzer derzeit Passwort-Rücksetz-Anfragen erhalten. Laut Instagram geht das auch nicht auf einen Einbruch in die Server des Dienstes zurück, sondern darauf, dass Fremde solche Passwort-Reset-E-Mails anfordern konnten. Betroffene sollen diese E-Mails ignorieren.

BreachForums-Nutzerdaten ebenfalls geleakt

Zudem kam es bei BreachForums respektive Nachfolgeinkarnationen davon nach der erfolgreichen Übernahme durch Strafermittler im April vergangenen Jahres zu einem Datenleck im August 2025. Hunt schreibt auf der HIBP-Webseite dazu, dass 672.000 E-Mail-Adressen in allen Tabellen der Datenbank, einschließlich der Forenbeiträge und privater Nachrichten, enthalten sind. Die Nutzer-Tabelle umfasst allein 324.000 E-Mail-Adressen, Nutzernamen und Argon2-Passwort-Hashes.

Interessierte können auf der HIBP-Webseite ihre E-Mail-Adressen überprüfen und anzeigen lassen, in welchen Datenlecks sie aufgetaucht sind. Einen vergleichbaren Dienst bietet das Hasso-Plattner-Institut mit dem Identity Leak Checker an, der ebenfalls Informationen aus diversen Datenlecks sammelt.

(dmk)