Sedemnajst in pol milijona Instagram računov je pravkar doživelo neželeno ponovno pojavljanje na temnem spletu, zahvaljujoč stari napaki v API, ki znova povzroča nove glavobole.
Instagramovi podatki iz leta 2024 ponovno pricurljali, razkrili 17,5 milijona računov
NAPISAL
DELI
Po navedbah varnostnega obvestila podjetja za kibernetsko varnost Malwarebytes so podatki, povezani s približno 17,5 milijona uporabnikov Instagrama, ponovno začeli krožiti na Breachforums po ponovni pojavitvi v začetku januarja 2026, po zaslugi napadalca z vzdevkom “Solonik.” Preobrat: to ni bil popolnoma nov vdor. Podatki naj bi izhajali iz napačno konfiguriranega API-ja Instagrama iz konca leta 2024, ki je omogočal obsežno strganje profilov uporabnikov, tiho zbiranje strukturiranih informacij, preden so izginili — do zdaj.
“Pazljivo na e-poštna sporočila in sporočila, ki trdijo, da prihajajo iz Instagrama, saj jih lahko pošiljajo zlonamerni hekerji, ki vas poskušajo pretentati, da jim zaupate geslo,” so razložili iz Malwarebytes v razposlanem opozorilnem e-poštnem sporočilu. “Če vas skrbi, se prijavite v svoj Instagram račun in ponastavite geslo na novo, močno, edinstveno geslo.”
Na novo objavljen nabor podatkov naj bi vključeval uporabniška imena, e-poštne naslove, telefonske številke, fizične naslove in metapodatke računov, zaradi česar so privlačni za prevarante in tatove identitete. Do 10. januarja Meta še ni dala javne izjave, medtem ko so poročila o neželenih e-poštnih sporočilih za ponastavitev gesel močno narasla. Stari podatki, nova škoda — ker internet nikoli ne pozablja, prav tako pa ne kibernetski kriminalci. Kaj to uhajanje še posebej otežuje, je njegov način uporabe.
Napadalci ne pošiljajo očitnih prevarantskih e-poštnih sporočil; namesto tega sprožajo resnična sporočila za ponastavitev gesel Instagrama iz pravih varnostnih domen platforme in računajo na zmedo, da opravi umazano delo. S številnimi osebnimi podatki v rokah lahko zlobni akterji napade iz lažnega predstavljanja nadgradijo na celo SIM zamenjave in ciljno usmerjene prevare, zlasti pri uporabnikih, ki reciklirajo gesla na različnih spletnih straneh.
Malwarebytes je zaznal vdor med rutinskim spremljanjem temnega spleta, kar kaže, kako reciklirani podatki še vedno lahko podžigajo zelo aktualne napade. Čeprav se zdi, da je izpostavljenost globalna — z dokazanimi posledicami v delih Evrope — je tveganje univerzalno: prevzemi računov, finančne prevare in svež opomnik, da ostrgani podatki starajo kot mleko, ne kot vino. Rešitev je nebleščeča, vendar učinkovita: močnejša gesla, dvofaktorska avtentikacija in zdrava sumljivost do vsakega “nujnega” e-poštnega sporočila, ki zahteva klike.
FAQ 🔒
- Ali je šlo za nov vdor v Instagram?
Ne, podatki naj bi izvirali iz strganja API-ja iz leta 2024 in so javno ponovno prišli na dan januarja 2026. - Kakšne informacije so bile izpostavljene?
Vključena so bila uporabniška imena, e-pošte, telefonske številke, delni ali popolni naslovi in metapodatki računov. - Zakaj uporabniki prejemajo resnična e-poštna sporočila za ponastavitev gesla?
Napadalci zlorabljajo legitimni sistem za ponastavitev Instagrama, da bi napadi lažnega predstavljanja izgledali verodostojno. - Kaj naj zdaj storijo prizadeti uporabniki?
Takoj zamenjajte gesla, omogočite dvofaktorsko avtentikacijo in spremljajte račune za sumljive dejavnosti.
