Инстаграм негира пробив по тврдењата за протекување на податоци од 17 милиони профили

Инстаграм соопшти дека поправил грешка која им овозможувала на заканувачки актери масовно да бараат е-пораки за ресетирање на лозинка, по тврдењата дека податоци од повеќе од 17 милиони Инстаграм профили биле „скрепани“ и протечени онлајн.

„Поправивме проблем што му овозможуваше на надворешен субјект да бара е-пораки за ресетирање на лозинка за некои корисници на Инстаграм“, изјави портпарол на Meta за BleepingComputer.

„Сакаме да ги увериме сите дека немало пробив во нашите системи и дека Инстаграм профилите на луѓето остануваат безбедни. Корисниците можат да ги игнорираат овие е-пораки и се извинуваме за каква било забуна што можеби е предизвикана.“

Медиумска фрка околу наводниот пробив на податоци на Инстаграм започна откако Malwarebytes ги предупреди своите корисници дека сајбер-криминалци украле податоци од 17,5 милиони профили.

Овие наводни Инстаграм податоци биле објавени бесплатно на бројни хакерски форуми, при што објавувачот тврдел дека се собрани преку непотврдено протекување на Инстаграм API во 2024 година.

Вкупно, споделените податоци содржат 17.017.213 профили на Инстаграм сметки, вклучувајќи телефонски броеви, кориснички имиња, имиња, физички адреси, е-поштенски адреси и Инстаграм ID-ја.

Збирката на податоци ги содржи следните броеви на уникатни вредности:

• ID: 17.015.503
• Корисничко име: 16.553.662
• Е-пошта: 6.233.162
• Телефонски број: 3.494.383
• Име: 12.418.006
• Адреса: 1.335.727

Не сите овие информации се присутни за секој запис, при што некои содржат само Инстаграм ID и корисничко име.

Истражувачи за сајбер-безбедност на X тврдат [1, 2] дека скрепаните податоци потекнуваат од инцидент со API скрепинг од 2022 година, но не обезбедиле јасни докази за да го потврдат тоа.

Понатаму, Meta изјави за BleepingComputer дека не е запознаена со какви било API инциденти во 2022 или 2024 година.

Сепак, Инстаграм и претходно бил погоден од инциденти со API скрепинг, како на пример грешка од 2017 година која била искористена за скрепинг и продажба на лични информации од наводни 6 милиони профили.

Не е јасно дали ново протечените податоци од Инстаграм се комбинација од протекувањето од 2017 година и дополнителни информации собрани во изминатите неколку години.

BleepingComputer стапил во контакт со лицето кое ги објавило Инстаграм податоците за да потврди кога биле украдени, но не добил одговор.

Инстаграм негира пробив

Во моментов нема докази дека овој инцидент претставува нов пробив на податоци на Инстаграм. Meta соопшти дека не е запознаена со какви било компромитирања на API во 2022 или 2024 година и дека не се случил нов пробив.

Понатаму, истражувачите не доставиле докази дека протечениот сет на податоци е добиен преку неодамнешна ранливост.

Наместо тоа, информациите укажуваат дека податоците можеби се компилација од претходно скрепани информации од повеќе извори, собрани во текот на неколку години.

Добрата вест е дека овие протечени податоци не содржат лозинки, па нема потреба од нивна промена.

Сепак, корисниците треба да останат внимателни на таргетирани фишинг, смишинг (фишинг преку СМС) и социјално-инженерски напади кои ја користат оваа информација.

Вообичаено е заканувачките актери да ги користат протечените податоци за да се обидат да украдат дополнителни информации, како што е лозинката на корисникот.

Доколку добиете е-пошта за ресетирање на лозинка на Инстаграм или СМС кодови на вашиот телефонски број, а вие не сте иницирале обновување на сметката, едноставно игнорирајте ги и избришете ги.

Доколку немате вклучено двофакторска автентикација на вашата сметка, силно се препорачува да ја активирате за да ја зголемите вашата безбедност.

Извори:

• Bleeping Computer – Instagram denies breach amid claims of 17 million account data leak Bleeping Computer