Meta sagte, es habe eine Schwachstelle behoben, die externen Parteien das Auslösen von Passwort‑Zurücksetzungs‑E‑Mails ermöglichte, und bestritt eine Plattformverletzung, nachdem ein Datensatz mit angeblich 17,5 Millionen Instagram‑Datensätzen kursierte. Sicherheitsanalysten warnten, die Welle von Zurücksetzungs‑E‑Mails und das angebliche Datenleck hätten das Phishing‑ und Account‑Übernahme‑Risiko verstärkt.

Anfang Januar 2026 erkannte und behob Meta eine Schwachstelle, die einigen externen Akteuren erlaubte, legitim wirkende Instagram‑Passwort‑Zurücksetz‑E‑Mails auszulösen, nachdem Untergrundforen einen Datensatz verbreitet hatten, der angeblich etwa 17,5 Millionen Nutzerdatensätze enthielt. Meta bestritt eine Kompromittierung der Plattform und erklärte, es gebe keine Hinweise auf die Exfiltration von Zugangsdaten aus seinen Systemen, riet den Nutzern jedoch, app‑basierte Zwei‑Faktor‑Authentifizierung zu aktivieren und auf unerwartete Zurücksetzungs‑E‑Mails zu achten. Sicherheitsforscher und Incident‑Responder warnten, dass die Kombination aus geleakten Datensätzen, selbst wenn sie teilweise oder aggregiert sind, plus authentische Zurücksetzungs‑E‑Mails die Wirksamkeit gezielter Phishing‑ und Kontenübernahmekampagnen erhöhe. Die Episode veranlasste Empfehlungen an Organisationen und Nutzer, die Kontenaktivität zu überwachen, Passwörter zu ändern, wenn Wiederverwendung vermutet wird, und Zurücksetzungsanfragen über offizielle Kanäle zu bestätigen. Strafverfolgungsbehörden und Sicherheitsteams verfolgen Forenaktivitäten und damit zusammenhängende Credential‑Stuffing‑Versuche, während Verteidiger mehrschichtigen Kontenschutz und schnelle Reaktionsprozesse bei vermuteten Kompromittierungen betonen.