Az Instagram közlése szerint kijavítottak egy olyan hibát, amely lehetővé tette a kiberbűnözők számára, hogy tömegesen kérjenek jelszó-visszaállító e-maileket a felhasználók nevében. A vállalat reakciója arra érkezett, hogy állítások szerint nemrég több mint 17 millió Instagram-fiók adatait gyűjtötték össze és szivárogtatták ki az interneten.
Az állítólagos Instagram-adatszivárgás körüli médiafelhajtás azt követően indult el, hogy a Malwarebytes figyelmeztette ügyfeleit: a kiberbűnözők 17,5 millió fiók adatait lophatták el. Az állítólagos adatgyűjtemény több hackerfórumon, ingyenesen került közzétételre, a feltöltő állítása szerint továbbá az információk egy meg nem erősített, 2024-es Instagram API-szivárgás során kerültek begyűjtésre.
A megosztott adatok összesen 17 017 213 Instagram-fiókhoz kapcsolódnak, és többek között telefonszámokat, felhasználóneveket, neveket, fizikai címeket, e-mail-címeket és Instagram-azonosítókat tartalmaznak. Az adatkészletben az egyedi értékek száma a következőképpen alakul:
- 17 015 503 egyedi ID
- 16 553 662 felhasználónév
- 6 233 162 e-mail-cím
- 3 494 383 telefonszám
- 12 418 006 név
- 1 335 727 cím
Fontos megjegyezni, hogy nem minden rekord tartalmazza az összes felsorolt adatot: egyes bejegyzésekben mindössze egy Instagram-ID és egy felhasználónév szerepel. Továbbá pozitívum, hogy a kiszivárgott adatok nem tartalmaznak jelszavakat.
Néhány kiberbiztonsági kutató az X-en azt állítja, hogy a kiszivárgott adatok egy 2022-es API-scraping incidensből származnak, azonban ezt egyelőre nem támasztották alá egyértelmű bizonyítékokkal. A Meta ezzel szemben azt nyilatkozta, nem tud sem 2022-es, sem 2024-es API-incidensről.
Ugyanakkor az Instagram múltjában többször is előfordultak már API-scraping esetek: 2017-ben például mintegy 6 millió felhasználó személyes adatai kerültek begyűjtésre és értékesítésre. Jelenleg nem tisztázott, hogy az újonnan megjelent adatgyűjtemény a 2017-es szivárgás, illetve az elmúlt évek során különböző forrásokból begyűjtött információk összefésüléséből áll-e össze.
Ennek ellenére a felhasználóknak fokozottan ébernek kell lenniük a célzott adathalász és egyéb social engineering támadásokkal szemben, amelyek során a támadók ezeket az adatokat könnyedén felhasználhatják. Gyakori módszer, hogy a fenyegető szereplők a kiszivárgott információkra támaszkodva próbálnak további érzékeny adatokat, például jelszavakat megszerezni.
Amennyiben valaki Instagram jelszó-visszaállító e-mailt vagy SMS-kódot kap anélkül, hogy fiók-helyreállítást kezdeményezett volna, a legbiztonságosabb eljárás az üzenetek figyelmen kívül hagyása és törlése. Ha a fiókon még nincs engedélyezve a kétfaktoros hitelesítés, erősen ajánlott annak bekapcsolása a fiók biztonságának növelése érdekében.
