Korisnici Instagrama već su navikli na neželjene sigurnosne e-mailove, upozorenja o sumnjivim prijavama i pokušaje preuzimanja računa. Najnoviji slučaj, koji se posljednjih dana ponovno našao u fokusu, na prvi pogled izgleda kao još jedan veliki sigurnosni incident. Međutim, dostupne informacije upućuju na to da se vjerojatno radi o starim podacima koji su ponovno isplivali na internet.
Nakon što su se pojavili izvještaji o velikom broju korisnika koji primaju e-mailove s pozivom na resetiranje lozinke, postavilo se pitanje suočava li se Instagram s novim koordiniranim kibernetičkim napadom. Meta tvrdi da nije riječ o proboju sustava, unatoč upozorenjima iz sigurnosne zajednice.
Zbrku je dodatno potaknuo Malwarebytes, koji je objavio izvješće o navodnom curenju podataka povezanih s oko 17,5 milijuna Instagram računa. Prema tim navodima, na forumima iz podzemlja kruže korisnička imena, fizičke adrese, brojevi telefona, e-mail adrese i drugi osobni podaci.
U početku se tvrdilo da su podaci pribavljeni iskorištavanjem dosad nepoznate API ranjivosti. Instagram je kasnije potvrdio da je doista postojao API bug koji se mogao zloupotrijebiti za masovno slanje e-mailova za resetiranje lozinke, ali je istovremeno odbacio tvrdnje da su korisnički podaci kompromitirani.
Meta navodi da je problem u međuvremenu zakrpan te da je utjecao samo na ograničen broj računa. Što se tiče samih e-mailova za promjenu lozinke, iz kompanije poručuju da ih je sigurno ignorirati ako promjena nije zatražena, jer lozinke nisu bile ugrožene.
Dodatnu sumnju baca i brojka od 17,5 milijuna računa. Sigurnosni istraživači sada smatraju da sporni podaci najvjerojatnije potječu iz API scraping incidenta iz 2022. godine. Meta, s druge strane, tvrdi da između 2022. i 2024. nije zabilježila nijedan sigurnosni incident koji bi zahvatio Instagram.
Postoji i treća, još vjerojatnija mogućnost. Dio podataka mogao bi potjecati iz velikog API incidenta iz 2017. godine, koji je Instagram tada i službeno priznao. U tom slučaju, aktualni “curenje” ne bi predstavljalo ništa novo, već samo ponovno pakiranje i distribuciju već kompromitiranih informacija. Važno je naglasiti da u dostupnim podacima nema lozinki.
Iako se trenutačno ne čini da su Instagram računi izravno ugroženi, ovakvi slučajevi ponovno pokazuju koliko su lažni ili neželjeni sigurnosni e-mailovi i dalje učinkovita metoda za izazivanje panike. Dodatne sigurnosne mjere poput dvofaktorske autentifikacije ili passkey sustava i dalje ostaju najučinkovitija obrana od ovakvih, često rutinskih, ali uporno ponavljanih pokušaja zloupotrebe.
