Instagram сообщил об устранении ошибки, которая позволяла злоумышленникам массово запрашивать электронные письма для сброса пароля. Ранее сообщалось, что данные более чем 17 миллионов аккаунтов Instagram были скопированы и опубликованы в сети.
«Мы устранили проблему, из-за которой посторонние лица могли запрашивать у некоторых пользователей Instagram электронные письма для сброса пароля», — сообщил представитель Meta изданию BleepingComputer.
«Мы хотим заверить всех, что наши системы не были взломаны и аккаунты пользователей в Instagram остаются в безопасности. Люди могут не обращать внимания на эти письма, и мы приносим извинения за возможную путаницу».
Шумиха в СМИ по поводу предполагаемой утечки данных из Instagram началась после того, как компания Malwarebytes предупредила своих клиентов, что киберпреступники похитили данные с 17,5 миллионов аккаунтов.
Эти предполагаемые данные из Instagram были бесплатно опубликованы на многочисленных хакерских форумах. Автор сообщения утверждал, что они были получены в результате неподтверждённой утечки API Instagram в 2024 году.
Сообщение на форуме о предполагаемой утечке данных из Instagram
В общей сложности опубликованные данные содержат информацию о 17 017 213 профилях в Instagram, включая номера телефонов, имена пользователей, имена, физические адреса, адреса электронной почты и идентификаторы Instagram.
Набор данных содержит следующую информацию о количестве уникальных значений:
- ID: 17 015 503
- Имя пользователя: 16 553 662
- Электронная почта: 6 233 162
- Номер телефона: 3 494 383
- Имя: 12 418 006
- Адрес: 1 335 727
Не вся эта информация присутствует в каждой записи: в некоторых из них указаны только идентификатор Instagram и имя пользователя.
Исследователи в области кибербезопасности на платформе X утверждают [1, 2], что собранные данные относятся к инциденту со сбором данных из API в 2022 году, но не предоставляют никаких явных доказательств в подтверждение этого.
Кроме того, компания Meta сообщила BleepingComputer, что ей неизвестно о каких-либо инцидентах, связанных с API, в 2022 или 2024 году.
Однако ранее Instagram уже сталкивался с инцидентами, связанными с парсингом API, такими как ошибка 2017 года, которой воспользовались для сбора и продажи персональных данных предположительно 6 миллионов аккаунтов.
Неясно, являются ли недавно опубликованные данные из Instagram компиляцией утечки 2017 года и дополнительной информацией за последние пару лет.
BleepingComputer связался с человеком, который слил информацию из Instagram, чтобы узнать, когда она была украдена, но не получил ответа.
Instagram отрицает факт взлома
На данный момент нет никаких доказательств того, что этот инцидент связан с новой утечкой данных из Instagram. Meta заявляет, что ей неизвестно о каких-либо нарушениях безопасности API в 2022 или 2024 году и что новой утечки данных не было.
Кроме того, исследователи не предоставили доказательств того, что утечка данных произошла из-за недавней уязвимости.
Судя по имеющейся информации, эти данные могут представлять собой компиляцию ранее собранной информации из нескольких источников за несколько лет.
Хорошая новость заключается в том, что в этих утечках данных нет паролей, поэтому менять их не нужно.
Однако людям следует проявлять бдительность в отношении целевого фишинга, смишинга (текстового фишинга) и атак с использованием социальной инженерии, в которых используется эта информация.
Злоумышленники часто используют утечку данных, чтобы попытаться украсть дополнительную информацию, например пароль пользователя.
Если вы получили электронное письмо с запросом на сброс пароля в Instagram или текстовые коды на свой номер телефона и не инициировали восстановление аккаунта, просто проигнорируйте их и удалите.
Если в вашей учётной записи не включена двухфакторная аутентификация, настоятельно рекомендуем включить её для повышения безопасности