Şüpheler, son dönemde çok sayıda kullanıcının talepte bulunmadığı halde Instagram’dan aldığı şifre sıfırlama e-postaları ile başladı. İlk etapta sistem hatası olarak görülen durumun arkasından, çok daha ciddi bir tablo çıktı.
Darknet’te 17,5 milyon hesap verisi
Malwarebytes siber güvenlik ekibi, Ocak 2026’da hacker forumu BreachForums’ta geniş çaplı bir veri seti tespit etti. Veriler arasında isimler, adresler, telefon numaraları ve kullanıcı bilgileri yer alıyor. En dikkat çekici nokta ise bu bilgilerin 2024 yılına ait olması. Uzmanlara göre bu durum, verilerin yaklaşık iki yıldır suç çevrelerinde dolaştığı ihtimalini güçlendiriyor.
Instagram için bu ilk kriz değil. Platform, 2022 yılında kişisel verileri yeterince koruyamadığı gerekçesiyle Avrupa’da ağır bir para cezasına çarptırılmıştı.
Meta: “Bu bir scraping olayı”
Meta cephesi, yaşananları “scraping” olarak tanımlıyor. Bu yöntemde saldırganlar, “rehberden kişi bul” gibi herkese açık özellikleri kullanarak milyonlarca telefon numarasını sisteme yüklüyor ve bu numaralara bağlı hesapları tespit ediyor. Uzmanlar yöntemi, “Birinin kilidi kırmadan, kapıları tek tek deneyerek eve girmesi” şeklinde tanımlıyor.
Saldırının temelinde ise Instagram’ın uzun süredir eleştirilen yetersiz “rate limiting” sistemi bulunuyor. Bu güvenlik açığı, saldırganların kısa sürede büyük miktarda veriyi otomatik olarak toplamasına imkan sağladı.
Aynı sorun, aynı sonuç
Instagram, 2022’de İrlanda Veri Koruma Komisyonu tarafından e-posta adresleri ve telefon numaralarının korunmaması gerekçesiyle 405 milyon Euro para cezasına çarptırılmıştı. Şimdi benzer verilerin yeniden Darknet’te ortaya çıkması, Meta’nın yapısal güvenlik sorunlarını kalıcı biçimde çözemediği eleştirilerini güçlendirdi.
Benzer bir scraping vakası daha önce, 2019 yılında 533 milyon Facebook hesabını etkilemişti.
Şifre sıfırlama e-postaları tesadüf değil
Uzmanlara göre, son dönemde artan şifre sıfırlama e-postaları bu veri sızıntısıyla doğrudan bağlantılı. Ele geçirilen kullanıcı adlarını kullanan saldırganlar, binlerce kez “şifremi unuttum” seçeneğine tıklıyor. Sistem de, talebin kimden geldiğini sorgulamadan otomatik e-posta gönderiyor.
Son aylarda milyarlarca e-posta adresi ve şifrenin internete sızdığı düşünüldüğünde, Instagram olayı daha geniş bir küresel siber güvenlik krizinin parçası olarak değerlendiriliyor.
Instagram-Datenleck: 17,5 Millionen Konten im Darknet aufgetaucht
Ein massiver Datenskandal erschüttert Instagram: Die persönlichen Daten von 17,5 Millionen Nutzerkonten sollen im Darknet zum Verkauf stehen. Cybersecurity-Experten sprechen von einem großangelegten Datenabgriff. Meta weist die Vorwürfe zurück und erklärt, es habe sich weder um einen Hack noch um ein klassisches Datenleck gehandelt. Für die Betroffenen spielt diese Unterscheidung jedoch keine Rolle – die sensiblen Informationen sind im Umlauf.
Viele Nutzer wurden zuvor durch ungewollte Passwort-Zurücksetzungs-E-Mails auf den Vorfall aufmerksam. Was zunächst nach einem technischen Fehler aussah, entpuppte sich als ernstzunehmendes Sicherheitsproblem.
17,5 Millionen Datensätze im Darknet
Das IT-Sicherheitsunternehmen Malwarebytes stieß im Januar 2026 bei einer Routineüberwachung des Hackerforums BreachForums auf eine umfangreiche Datenbank. Diese enthält unter anderem Namen, Adressen und Telefonnummern von Instagram-Nutzern. Brisant: Die Daten stammen offenbar aus dem Jahr 2024. Experten gehen davon aus, dass sie seit rund zwei Jahren in kriminellen Kreisen kursieren könnten.
Für Instagram ist es nicht der erste Vorfall dieser Art. Bereits 2022 wurde der Konzern wegen unzureichenden Datenschutzes sanktioniert.
Meta spricht von „Scraping“
Meta bezeichnet den Vorfall als sogenanntes Scraping. Dabei nutzen Angreifer öffentlich zugängliche Funktionen wie „Kontakte finden“, laden massenhaft Telefonnummern hoch und prüfen, welche Profile damit verknüpft sind. Sicherheitsexperten vergleichen die Methode mit „dem systematischen Ausprobieren von Haustüren – ohne das Schloss aufzubrechen, aber mit demselben Ergebnis“.
Möglich wurde dies laut Fachleuten durch ein unzureichendes Rate-Limiting-System, das automatisierte Massenabfragen nicht effektiv verhinderte.
Alte Schwächen, neues Problem
Instagram wurde 2022 von der irischen Datenschutzbehörde zu einer Geldstrafe von 405 Millionen Euro verurteilt – wegen mangelhaften Schutzes von E-Mail-Adressen und Telefonnummern. Dass nun erneut vergleichbare Daten auftauchen, wirft Fragen zur nachhaltigen Sicherheitsstrategie von Meta auf.
Ein ähnlicher Scraping-Vorfall hatte bereits 2019 rund 533 Millionen Facebook-Konten betroffen.
Passwort-Mails als Folge der Leaks
Laut Experten hängt auch die aktuelle Welle von Passwort-Zurücksetzungs-E-Mails mit dem Datenleck zusammen. Angreifer nutzen erbeutete Benutzernamen und lösen massenhaft „Passwort vergessen“-Anfragen aus. Das System verschickt daraufhin automatisch E-Mails – ohne echte Schutzmechanismen.
Vor dem Hintergrund, dass zuletzt auch Milliarden E-Mail-Adressen und Passwörter im Internet aufgetaucht sind, sehen Fachleute den Instagram-Fall als Teil eines umfassenden globalen Cyber-Sicherheitsproblems.