Laut Berichten vom 11. Januar berichtete das ausländische Medium Dailymail, dass Millionen von Instagram-Nutzern auf der ganzen Welt ungewöhnlich viele E-Mails zum Zurücksetzen von Passwörtern erhalten hätten, was weit verbreitete Besorgnis und Sicherheitsbedenken hervorrief. Mehrere Cybersicherheitsbehörden und ausländische Medien wiesen darauf hin, dass im Jahr 2024 vermutet wurde, dass personenbezogene Daten ohne Passwort (einschließlich Benutzernamen, echte Namen, E-Mail-Adressen, Telefonnummern, Teiladressen und andere Kontaktinformationen) von etwa 17,5 Millionen Konten illegal über die Instagram-API-Schnittstelle abgerufen wurden und am 8. Januar 2026 von einem Bedrohungsakteur mit dem Codenamen „Solonnik“ im BreachForums-Forum öffentlich veröffentlicht wurden. Der Datensatz enthält mehr als 17 Millionen Datensätze und steht zum kostenlosen Download zur Verfügung.

Nachdem der Vorfall aufgedeckt wurde, gab das Sicherheitsunternehmen Malwarebytes am 10. Januar eine Frühwarnung auf sozialen Plattformen heraus und betonte, dass der Informationsstapel zwar keine Klartext-Passwörter oder verschlüsselten Anmeldeinformationen enthielt, die hochstrukturierten persönlichen Identitätsdaten jedoch leicht für nachfolgende kriminelle Aktivitäten wie Spear-Phishing, Social-Engineering-Angriffe, Identitätsfälschung und Finanzbetrug verwendet werden könnten. Im gleichen Zeitraum gaben zahlreiche Nutzer an, innerhalb kurzer Zeit standardisierte Reset-E-Mails von Instagram erhalten zu haben. Der Inhalt enthielt eine auffällige blaue Schaltfläche „Passwort zurücksetzen“ und eine Standardaufforderung: „Wenn Sie diese E-Mail ignorieren, wird Ihr Passwort nicht geändert; wenn keine Anfrage initiiert wird, informieren Sie uns bitte.“

Als Reaktion auf die Bedenken der Öffentlichkeit gab Meta am 11. Januar offiziell eine Stellungnahme dazu heraus. Das Unternehmen stellte klar: „Es ist kein Datenverstoß aufgetreten, die Instagram-Systeme wurden nicht kompromittiert und die Benutzerkonten bleiben sicher.“

Laut einem Meta-Sprecher wurde dieser groß angelegte E-Mail-Auslöser durch eine behobene technische Schwachstelle verursacht, die es Außenstehenden ermöglichte, den normalen Verifizierungsprozess zu umgehen und stapelweise gefälschte Anfragen zum Zurücksetzen des Passworts an einige Instagram-Benutzer zu senden, wodurch das System veranlasst wurde, automatisch Zurücksetzungs-E-Mails zu versenden.

Meta betonte, dass die entsprechenden Schwachstellen so schnell wie möglich nach der Entdeckung behoben wurden, und bestätigte, dass es keine Hinweise darauf gebe, dass das Problem für böswillige Kontoübernahmen oder andere seitliche Penetrationsverhalten ausgenutzt wurde. Meta entschuldigte sich für die durch diesen Fehlalarm verursachte öffentliche Verwirrung und bekräftigte seine Entschlossenheit, weiterhin in Infrastruktur-Sicherheits-Upgrades und API-Zugriffskontrolle zu investieren.