Компания по кибербезопасности Malwarebytes сообщила об утечке конфиденциальной информации 17,5 млн пользователей Instagram. Данные продаются в даркнете и могут использоваться киберпреступниками.
В утечку попали имена пользователей, физические адреса, номера телефонов, адреса электронной почты и другая персональная информация. Malwarebytes обнаружила базу данных во время планового мониторинга даркнета. По версии компании, причиной утечки стал инцидент, связанный с уязвимостью API Instagram в 2024 году.
Многие пользователи Instagram сообщают, что им стали приходить письма с запросом на сброс пароля — вероятно, его оформляют злоумышленники. Специалисты по кибербезопасности предупреждают, что утекшие данные могут использоваться для фишинговых атак и захвата аккаунтов.
На хакерском форуме BreachForums база данных была опубликована 7 января под названием INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK пользователем под псевдонимом Solonik. По утверждению продавца, данные были собраны в последние три месяца 2024 года через публичные API.
Эксперты классифицируют инцидент как «скрейпинг» — автоматизированный сбор данных через публичные интерфейсы, а не прямое вторжение на серверы Instagram. Однако масштаб утечки указывает на сбой в системах ограничения частоты запросов или защиты приватности платформы.
Специалисты по безопасности рекомендуют пользователям включить двухфакторную аутентификацию через приложение-аутентификатор (не через SMS), сменить пароль на уникальный и сложный, а также игнорировать подозрительные письма о сбросе пароля. Проверить устройства, с которых выполнен вход в аккаунт, можно в центре управления аккаунтами Meta.