Veliki sigurnosni incident doveo je do curenja podataka oko 17,5 milijuna korisničkih računa Instagrama, a kompromitirane informacije trenutno se pojavljuju na dark webu. Na problem je početkom tjedna upozorila sigurnosna tvrtka Malwarebytes, ističući ozbiljne rizike za privatnost i sigurnost korisnika.
Prema dostupnim informacijama, u procurjeloj bazi nalaze se korisnička imena, email adrese, telefonski brojevi te djelomične fizičke lokacije. Kombinacija takvih podataka znatno olakšava krađu identiteta, ciljane phishing napade i druge oblike socijalnog inženjeringa. Malwarebytes potvrđuje da se baza aktivno prodaje i razmjenjuje na dark web tržištima, čime postaje dostupna širokom krugu kibernetičkih kriminalaca.
Posljedice su već vidljive u praksi. Dio korisnika prijavio je da su zaprimili legitimne obavijesti o resetiranju Instagram lozinki, što upućuje na to da napadači već pokušavaju preuzeti račune koristeći procurjele podatke. Posebno su rizične situacije u kojima su email adrese i brojevi telefona izravno povezani s Instagram računima, jer omogućuju izradu uvjerljivih lažnih poruka koje izgledaju kao da dolaze od Mete ili samog Instagrama.
Na dark webu pojavio se oglas koji nudi bazu s oko 17,5 milijuna Instagram računa, uz tvrdnje da su podaci prikupljeni krajem 2024. godine. Prodavatelj, koji koristi nadimak „Subkek“, navodi da su informacije prikupljene putem javnih API-ja i različitih regionalnih izvora. U oglasima su vidljivi i uzorci zapisa, koji uključuju korisnička imena, pune email adrese, telefonske brojeve i djelomične lokacijske podatke.
Stručnjaci za sigurnost preporučuju dodatni oprez u narednom razdoblju, uključujući aktiviranje dvofaktorske autentifikacije, promjenu lozinki i praćenje neuobičajenih pokušaja prijave ili poruka koje se predstavljaju kao službena komunikacija Instagrama. Također se savjetuje provjera aplikacija i servisa povezanih s računom.
Instagram i njegova matična tvrtka Meta zasad se nisu službeno oglasili o razmjerima incidenta niti o eventualnim mjerama sanacije. Istraga o načinu prikupljanja podataka i mogućim propustima, bilo u Instagramovim sustavima ili kod trećih strana, još uvijek traje.
