Instagram stopt ongevraagde resetmails die 'externe partij' kon sturen

Instagram heeft een probleem opgelost waardoor 'een externe partij' e-mails naar Instagram-gebruikers kon verzenden met het verzoek om hun wachtwoord opnieuw in te stellen. Het platform ontkent dat er is ingebroken in zijn systemen, hoewel er wel meldingen zijn van een datalek.

Meerdere Instagram-gebruikers meldden de afgelopen dagen dat ze e-mails van Instagram ontvingen waarin staat dat het platform een verzoek heeft ontvangen om het wachtwoord opnieuw in te stellen. Instagram zegt nu dat het dit probleem heeft opgelost. Het is niet geheel duidelijk wat er aan de hand was. Het sociale medium meldt enkel dat een 'externe partij' dergelijke e-mails voor 'sommige' gebruikers kon aanvragen.

Het platform beweert dat niemand heeft ingebroken in zijn systemen en dat alle accounts veilig zijn. Rond dezelfde tijd meldde Malwarebytes echter dat er gegevens van 17 miljoen Instagram-gebruikers zijn gestolen. Het zou in ieder geval om gebruikersnamen gaan en in sommige gevallen ook om locatiegegevens, e-mailadressen en telefoonnummers. De gegevens zijn gedeeld op een hackforum.

Volgens Troy Hunt van Have I Been Pwned heeft dit lek niets te maken met de stortvloed aan wachtwoordreset-e-mails. Volgens hem waren alle gedeelde e-mailadressen al afkomstig uit een groot lek uit 2019, bij een databedrijf uit San Francisco genaamd People Data Labs. Hij verwacht dat iemand die gegevens heeft gebruikt om via een Instagram-api aanvullende gegevens te bemachtigen. Er zouden geen wachtwoorden of andere gevoelige gegevens tussen zitten.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Kevin Krikhaar

Redacteur

Feedback • 12-01-2026 09:50 21

12-01-2026 • 09:50

Lees meer

Meta krijgt 91 miljoen euro boete voor opslaan van wachtwoorden in plaintext

Meta krijgt 91 miljoen euro boete voor opslaan van wachtwoorden in plaintext Nieuws van 27 september 2024

Instagram voegt functie toe om gehackt account terug te kunnen krijgen

Instagram voegt functie toe om gehackt account terug te kunnen krijgen Nieuws van 15 december 2022

Onderzoekers vinden database met profielen en info van 1,2 miljard gebruikers

Onderzoekers vinden database met profielen en info van 1,2 miljard gebruikers Nieuws van 22 november 2019

Beveiliging en antivirus Datalek Instagram

Reacties (21)

21

21

11

1

0

10

Wijzig sortering

Wolfos 12 januari 2026 10:11

Ik krijg deze mails al jaren. De eerste die ik nog heb is uit 2019. Ik vroeg me altijd af wat daarachter zit, want wat heb je eraan dat ik een email krijg? Ze zijn er duidelijk niet in gekomen in die zeven jaar.

Ik zal 'm eens wijzigen naar een alias.

Kees BOFH @Wolfos • 12 januari 2026 10:53

Ik vroeg me altijd af wat daarachter zit

Vrij simpel. Men weet je mailadres (wat niet vreemd is gezien de talloze lekken) en vult die in op Instagram om je een nieuw wachtwoord te sturen.

Heel erg vaak zal zo'n systeem dan zeggen 'mailadres niet in de database gevonden', of 'mail verstuurd'. In het tweede geval weet je zeker dat dat mailadres een account heeft op instagram en dan heb je dus iets meer informatie. Instagram zegt inderdaad 'account niet gevonden', dus je kan vrij eenvoudig per mailadres bepalen of iemand een account heeft.

En dat is ook de reden dat veel sites zullen zeggen 'mail verstuurd' ongeacht of je een account hebt of niet. En als je geen account hebt, dan krijg je een mailtje met 'we kennen dit mailadres niet, maak nu een account aan'.

[Reactie gewijzigd door Kees op 12 januari 2026 10:54]

@Kees • 12 januari 2026 12:14

Er bestaat OSINT tooling voor (waarvan sommige FOSS is. Vb: holehe). Je hebt daarbij 'silent' en 'non-silent' tests. Non-silent is wat je hier omschrijft; die zijn niet zo interessant omdat je daarmee je subject informeert (al kan dat ook de bedoeling zijn). Is zo'n check silent, dan kun je de website zelfs scrapen en een database aanleggen van alle gebruikers (dit mag overigens niet volgens AVG.) (Disclaimer: ik heb meerdere van deze tests mogen ontwikkelen. Dergelijke fouten komen nog steeds veelvuldig voor, ook silent.)

Er is ook een oplossing voor: catch-all + hash. Waarbij de hash niet is "instagram", maar random (vandaar 'hash'). Persoonlijk doe ik het niet met hash maar met naam van website. Ik accepteer dat mijn e-mailadres te grabbel ligt.

@Step5 ja, dank

[Reactie gewijzigd door Jerie op 13 januari 2026 13:17]

MenN @Jerie • 12 januari 2026 14:06

Om precies te zijn dit gaat dus om een zogenaamde Enumeration Attack.

Klungelige UI (waar je dus een een bepaalde account status lekt) is 1 deel maar het gaat ook om de techniek. Je moet er voor zorgen dat er geen onderscheid gemaakt kan worden tussen alle varianten (account bestaat niet, verkeerd wachtwoord etc) doordat de site anders reageert.

@MenN • 12 januari 2026 15:18

Yep. Lage CVSS, maar desondanks wel een kwetsbaarheid. Dat de text output of status code anders is, maakt het wel eenvoudig.

Specifiek kun je zelfs middels timing attack opmerken omdat de ene (bijv. JSON API) request antwoord van bijvoorbeeld 'deze gebruiker bestaat niet' een andere, kortere response tijd heeft dan een request met antwoord 'deze gebruiker bestaat'. Waarbij in laatste geval de software de input versleuteld en vervolgens vergelijkt met het opgeslagen wachtwoord, vandaar de tragere reactie. Hier een voorbeeld van 12 jaar geleden met Django. Met Dev Tools kun je zo e.e.a. uitvogelen. Een oplossing is random wait time toevoegen. De oplossing die ze daar aanbevelen (een statische extra amount) is onvoldoende. Dat zul je bijvoorbeeld ook onder hoge load moeten testen (denk DoS attack om user enumeration te voltooien, en die gaat bij Django slagen).

Geen commentaar welke websites precies lek waren of zijn (onder NDA, en ik weet het niet eens meer), maar dat ik het eenvoudig kon vinden bij meerdere top Nederlandse websites weet ik me wel nog te herinneren. Overigens ook allerlei buitenlandse websites. Ik noem maar eens wat: disneyplus.com.

Het heeft hoe dan ook low prio bij devs. Zelfs als je het zou melden. Bounty gaan ze ook niet geven voor het vinden van. Gegarandeerd dat er allerlei figuren zijn die dit uitbuiten. Anyway, blij dat ik dit niet meer doe. Web hacking vind ik slaapverwekkend.

Onlangs nog voor mijn interne dockers oauth2 uit mogen rollen. Daar viel het me ook direct op dat dit mogelijk was. Specifiek bij KanIDM niet (in ieder geval niet de makkelijke methode waarbij de output anders is; timing attack (nog) niet geprobeerd). Die vragen namelijk eerst om TOTP, en dan pas om wachtwoord.

[Reactie gewijzigd door Jerie op 12 januari 2026 15:21]

Step5 @Jerie • 13 januari 2026 13:04

Catch-all bedoel je, denk ik?

-36- @Wolfos • 12 januari 2026 10:13

Dit dus, en dan soms ook gewoon 20 in een uur

Blizz @-36- • 12 januari 2026 13:31

Ik gebruik daarom ook al jaren de functie die wachtwoordresets voor 60 dagen uitschakelt.

937mako 12 januari 2026 10:03

Deze mail heb ik ook gekregen. 2 dagen later kreeg ik van HaveIbeenPwnd een mailtje dat ik pwnd was via een Instagram "data breach" met display names, email adressen, locatie, telefoonnummer en gebruikersnaam. In deze mail staat dat de data breach van januari 2026 is. Wel heel toevallig als dit niets met elkaar te maken heeft.

[Reactie gewijzigd door 937mako op 12 januari 2026 10:05]

@937mako • 12 januari 2026 10:25

Toch is het echt toeval:

In January 2026, data allegedly scraped via an Instagram API was posted to a popular hacking forum. The dataset contained 17M rows of public Instagram information, including usernames, display names, account IDs, and in some cases, geolocation data. Of these records, 6.2M included an associated email address, and some also contained a phone number. The scraped data appears to be unrelated to password reset requests initiated on the platform, despite coinciding in timeframe. There is no evidence that passwords or other sensitive data were compromised.

Bron: https://haveibeenpwned.com/Breach/Instagram

937mako @joeri1 • 12 januari 2026 11:39

Kijk, deze bron miste ik. Die bron staat namelijk nergens in dit artikel. Alleen de link naar Troy van haveibeenpwnd die iets zegt over 100%, maar verder zonder context. Vermoedelijk zou je de context zien als je in zou loggen op X, maar als je geen X hebt zie je dus geen context bij de bron.

Edit: overigens zie ik nu dat dit ook gewoon in de mail staat die ik van haveibeenpwnd ontvangen heb. Voortaan beter lezen, maar als je haveibeenpwnd niet raadpleegt heb je ook de bron niet

[Reactie gewijzigd door 937mako op 12 januari 2026 11:43]

Lagonas @937mako • 12 januari 2026 10:44

Ik heb de Emails wel ontvangen, maar ik zie mn Email adres niet "gepwnd", dus het kan zeker kloppen.

Datalek

12 januari 2026 10:01

Als men met gegevens uit 2019 nú nieuwe of méér data heeft gekregen is het toch alsnog een datalek, lijkt me? Als men nu dus middels de api gerichter gegevens heeft kunnen zoeken, omdat men het e-mail adres had en daardoor verder heeft kunnen zoeken / de api bevragen?

Oval 12 januari 2026 10:10

Ik kreeg gisteren nog zo'n mailtje omdat ik gevraagd zou hebben mijn password te resetten. Niet dus.

Lagonas 12 januari 2026 10:39

Ahh.. Dit verklaart heel veel. Ik heb deze mail Vrijdag ook ontvangen, en schrok me dood. Het heeft me op zich wel veiliger gemaakt, want ik heb direct MFA aangezet op alle websites waar deze nog niet aan stond, en wachtwoorden van Email, Instagram en wachtwoord manager veranderd.

Dat gezegd hebbende, lekker weer dat er waarschijnlijk nog een lek is. Ik schrik er eigenlijk niet eens meer van zo vaak gebeurd het. Wat natuurlijk ook absurd is.

edit:
Ik heb nog even HaveIbeenPwned gecheckt, en ik zie geen instragram bij mijn email adres (er zijn helemaal geen pwns op dit specifieke adres).

[Reactie gewijzigd door Lagonas op 12 januari 2026 10:41]

Hobbit13 12 januari 2026 12:10

Ik heb recent nog van dit soort mails gehad, die wel echt van Meta af te lijken komen. Maar ik heb mijn Instagram account al een paar jaar geleden volledig verwijderd.

Zijn die mails dan volledig fake, of heeft Meta mijn Instagram account toch niet helemaal verwijderd? (sowieso klik ik er niet op hoor!)

Calamor 12 januari 2026 11:04

Had dit weekend hier ook last van. Ik heb 4 of meer reset e-mails ontvangen. Allemaal heel kort op elkaar. Er voor nooit van zulke e-mail ontvangen.

42dpi 12 januari 2026 11:23

Ik kreeg de mail van wachtwoord reset en direct 58 min later (dit was in de nacht van 10jan )een mail van Malwarebytes met lek melding (hulde voor Malwarebytes) niet dat ik op de mail van wachtwoord reset of iets had geklikt of gedaan.

*Gelukkig steek ik tijd in MFA en unieke en lange wachtwoorden dat dit soort dingen niet kunnen uitlopen in meer directe ellende.

[Reactie gewijzigd door 42dpi op 12 januari 2026 11:47]

matroosoft 12 januari 2026 12:31

Ik kreeg ze nu net nog, drie stuks tussen 12.22 en 12.25. Dus lijkt mij dat het nog niet opgelost is.

BPG908 12 januari 2026 12:50

Voor werk bekeek ik wel eens Instagram-accounts die ik mogelijk zou willen overnemen (kopen). Zeker bij inactieve accounts wordt er op berichten vaak niet gereageerd. Wat wij dan deden, was proberen in te loggen met het account en vervolgens kiezen voor wachtwoord vergeten. Dan zie je het e-mailadres deels; “Er is een e-mail verzonden aan abc**d@abcd***.com”. Aan de hand daarvan kun je vaak het domein achterhalen en een mail sturen naar de eigenaar (tenzij het Hotmail, Gmail e.d. is).

Het zien van die e-mailadressen was destijds altijd heel handig. Ik kan me voorstellen dat als je een sheet hebt met miljoenen e-mailadressen, je dit proces kunt automatiseren en eventueel zelfs kunt koppelen aan gelekte wachtwoorden om in te loggen en accounts over te nemen.

Om te kunnen reageren moet je ingelogd zijn