Как сообщило издание Bleeping Computer, в Meta** заявили, что недавно устранили проблему, позволявшую третьим лицам запрашивать письма для сброса пароля от Instagram. Компания подчеркивает: системы Instagram не были взломаны, аккаунты пользователей в безопасности, и такие письма можно просто игнорировать.
При этом массовую рассылку таких писем уже успели связать с предполагаемой утечкой данных, о которой на днях сообщили специалисты ИБ-компании Malwarebytes. Эксперты предупредили о краже данных из 17,5 млн аккаунтов Instagram, и сообщили, что информация бесплатно опубликована на ряде хак-форумов.
Опубликовавший этот дамп злоумышленник писал, что информация собрана еще в 2024 году, в результате утечки данных через API Instagram.
Этот датасет содержит информацию 17 017 213 профилей Instagram, включая номера телефонов, имена пользователей, реальные имена, физические адреса, email-адреса, а также Instagram ID. Суммарно в дампе обнаружены:
- 17 015 503 ID;
- 16 553 662 имен пользователей;
- 6 233 162 email-адресов;
- 3 494 383 номеров телефонов;
- 12 418 006 имен;
- 1 335 727 адресов.
Стоит отметить, что не вся информация доступна для каждой учетной записи — для некоторых доступны лишь ID Instagram и имя пользователя.
ИБ-эксперты полагают, что «свежая» утечка произошла еще в 2022 году, и она связана с массовым скрапингом, а не взломом. Однако фактических доказательств этой теории нет.
Напомним, что скрапинг (веб-скрейпинг, англ. web scraping) — это процесс автоматического сбора и извлечения данных с веб-сайтов. Сбором, обработкой и анализом информации занимаются специально созданные программы или боты-скраперы.
Представители Meta в свою очередь сообщили журналистам, что им не известно ни о каких утечках данных, произошедших через API в 2022 или 2024 году.
Следует отметить, что в прошлом Instagram уже страдал от подобных проблем. К примеру, в 2017 году баг API уже использовали для сбора и последующей продажи личных данных около 6 млн аккаунтов. В этой связи новый дамп может оказаться компиляцией данных 2017 года, а также новой информации, собранной за последние несколько лет.
Instagram сообщил, что обнаружил и исправил проблему, которая позволяла внешней стороне инициировать отправку писем о сбросе пароля для части пользователей. При этом компания не раскрыла, кто именно стоял за этими запросами и в чем заключалась техническая суть уязвимости.
Примечательно, что официальное заявление было опубликовано не в Instagram и не в Threads, а в соцсети X. В сообщении компания подчеркнула, что пользователи могут просто игнорировать подобные письма, извинившись за возникшую путаницу. О каких-либо утечках персональных данных или их продаже Instagram не сообщил.
С заботой о вашей безопасности, команда Origin Security
