Sedan onsdags i förra veckan har Instagram-användare över hela världen fått e-postmeddelanden där de ombeds att återställa sina lösenord – utan att ha begärt det. E-postmeddelandena kom från Instagrams officiella avsändaradress, vilket fick många att frukta att deras konton hade komprometterats.
Instagram har nu bekräftat att det rörde sig om ett fel. ”Vi har åtgärdat ett problem som gjorde det möjligt för en extern part att begära e-postmeddelanden om återställning av lösenord för vissa användare”, skrev Instagram på X och tillade att det inte hade skett något intrång i företagets system. Användarna kan tryggt ignorera e-postmeddelandena, försäkrar Instagram.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
17,5 miljoner konton komprometterade
Incidenten sammanfaller dock med en annan nyhet som ger anledning till oro. Säkerhetsföretaget Malwarebytes rapporterar att data från cirka 17,5 miljoner Instagram-konton nu delas fritt på hackerforum på dark web. Den läckta informationen inkluderar användarnamn, e-postadresser, telefonnummer och, i vissa fall, fysiska adresser, rapporterar Malwarebytes. Lösenord är inte en del av läckan.
Enligt Malwarebytes härrör informationen från en sårbarhet i Instagrams API från 2024. En användare med aliaset ”Solonik” delade datasetet gratis på hackerforumet BreachForums den 7 januari.
Meta, som äger Instagram, har inte bekräftat läckan och förnekar att det har skett ett intrång i företagets system.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Överväg att aktivera tvåfaktorsautentisering
Säkerhetsexperter rekommenderar Instagram-användare att aktivera tvåfaktorsautentisering om de inte redan har gjort det. Detta kan göras under Mer > Inställningar > Se mer i Kontocenter > Lösenord och säkerhet > Tvåfaktorsautentisering. Här kan man välja att använda en autentiseringsapp som Google Authenticator eller Microsoft Authenticator istället för SMS-koder, vilket generellt anses vara säkrare.
Den läckta informationen kan potentiellt användas för phishing-attacker, där bedragare utger sig för att vara Instagram för att lura användare att uppge sina inloggningsuppgifter.