Instagram-Bug offenbarte private Daten von Zuckerberg und Mbappé

Die Schwachstelle versteckte sich im Tool zur Wiederherstellung des eigenen Passworts, das Anwender nutzen, wenn sie den Zugang zu ihrem Konto verloren haben. Unter normalen Umständen verschleiert die Plattform hinterlegte Kontaktinformationen konsequent und zeigt in solchen Fällen nur maskierte Versionen wie m***@fb.com an. Durch einen Programmierfehler in der Ablaufsteuerung wurde dieser Schutzmechanismus jedoch vollständig umgangen.

Gab ein Nutzer den Benutzernamen eines anderen Accounts in das Formular ein, erhielt er anstelle der maskierten Version die vollständige E-Mail-Adresse sowie die hinterlegte Telefonnummer des Betroffenen. Es gibt keinerlei Hinweise darauf, dass die Server-Infrastruktur von Meta dabei infiltriert wurde. Der Fehler entstand rein durch eine fehlerhafte Logik im Code. Eine offizielle CVE-Identifikationsnummer hat Meta für diese Lücke bisher nicht veröffentlicht.

Die ersten viralen Screenshots, die den Fehler öffentlich machten, zeigten den Login-Bildschirm von Meta-Chef Mark Zuckerberg samt dessen privater E-Mail-Adresse und Telefonnummer. Damit wurde der technische Defekt einer breiten Öffentlichkeit bekannt und löste intensive Debatten über die Datensicherheit bei Instagram aus.

Auch der französische Fußballstar Kylian Mbappé fiel dem Bug zum Opfer. Besonders problematisch war in diesem Fall, dass die freigegebenen Daten einen versteckten TikTok-Account enthüllten, den der Sportler nicht öffentlich mit seiner Marke verknüpft hatte. Auf der Plattform X kritisierte ein Nutzer scharf, dass Meta auf qualifizierte Experten verzichte und stattdessen die Infrastruktur auf unzureichende KI-Lösungen ausrichte.

Das Unternehmen spielte innerhalb weniger Stunden nach Entdeckung des Fehlers einen Notfix ein, um die ungewollte Datenpreisgabe sofort zu stoppen. In einer offiziellen Stellungnahme betonte Meta, dass es keinen massiven Diebstahl von Nutzerdaten gegeben habe und die Systeme nicht kompromittiert worden seien.

Dennoch sehen Experten die Lage kritischer: Die Offenlegung privater Kontaktdaten widerspricht den eigenen Datenschutzrichtlinien von Meta und könnte gegen Artikel 25 der europäischen DSGVO verstoßen. Die schnelle technische Reparatur ändert nichts daran, dass die Daten für einen kurzen Zeitraum öffentlich abrufbar waren. Meta hat bisher keine weiteren Details zur genauen Auswirkung des Fehlers veröffentlicht.

Drohen den Betroffenen nun konkrete Schäden? Die freigegebenen Daten lassen sich von Betrügern für verschiedene Angriffsarten missbrauchen, die tief in die Privatsphäre eingreifen:

• Gezielte Phishing-Mails mit persönlicher Ansprache, die schwer von legitimen Nachrichten zu unterscheiden sind.
• SIM-Swapping-Angriffe zur Übernahme von Telefonnummern, um Zwei-Faktor-Authentifizierungen zu umgehen.
• Die Identifizierung weiterer Online-Konten über die preisgegebene E-Mail-Adresse.

Die Kombination aus E-Mail und Telefonnummer stellt ein besonders sensibles Datenpaket dar, das von Kriminellen leicht für soziale Manipulation genutzt werden kann.

Der Juni-Vorfall ist nicht das erste Sicherheitsproblem, das Instagram im Jahr 2026 belastet. Bereits im Januar nutzten Betrüger das Passwort-System der Plattform, um Millionen gefälschter E-Mails zu versenden, die als offizielle Nachrichten von Instagram getarnt waren.

Parallel dazu kursierten auf Dark-Web-Foren Datenlisten mit 17,5 Millionen gestohlenen Nutzerprofilen, die auf einen früheren Datenzugriff zurückgehen. Noch im selben Juni griffen Angreifer den KI-gestützten Kundenservice-Chatbot von Meta via Prompt-Injection an. Über diese Schwachstelle gelang es ihnen, offizielle Accounts zu übernehmen, darunter das White-House-Archiv und den Account der US Space Force. Das aktuelle Datenleck bei der Passwortzurücksetzung fügt sich damit in eine Reihe von Sicherheitsvorfällen, die die Plattform in diesem Jahr erschüttert haben.

Ein Logik-Fehler im Passwort-Reset-Tool von Instagram gab am 6. Juni 2026 private Kontaktdaten von Nutzern wie Mark Zuckerberg und Kylian Mbappé preis. Meta reagierte innerhalb weniger Stunden mit einem Notfix, doch die freigegebenen Daten können weiterhin für gezielte Phishing-Angriffe und SIM-Swapping missbraucht werden. Der Vorfall ist Teil einer Serie von Sicherheitsproblemen, die die Plattform bereits 2026 belasten.