Labimpung at kalahating milyong Instagram account ang hindi sinasadya muling lumitaw sa dark web, salamat sa isang luma na API flaw na bumalik upang magdulot ng bagong sakit ng ulo.
Muling Lumitaw ang 2024 Leak ng Data ng Instagram, Naglalantad ng 17.5M na Account
ISINULAT NI
IBAHAGI
Ayon sa isang abiso sa seguridad mula sa cybersecurity firm na Malwarebytes, ang data na konektado sa humigit-kumulang 17.5 milyong Instagram user ay malayang umiikot sa Breachforums matapos itong muling lumabas noong unang bahagi ng Enero 2026, sa kagandahang loob ng isang banta na gumagamit ng handle na “Solonik.” Ang twist: ito ay hindi isang ganap na bagong paglabag. Ang data ay iniulat na nagmula sa isang misconfigured Instagram API mula sa huling bahagi ng 2024 na nagpapahintulot sa malakihang pag-scrape ng mga profile ng user, tahimik na nangongolekta ng nakaayos na impormasyon bago mawala—hanggang ngayon.
“Mag-ingat sa mga email at mensahe na nagke-claim na nagmula sa Instagram, dahil maaari silang ipadala ng mga malisyosong hacker na sinusubukang linlangin ka na ibigay ang iyong password,” ipinaliwanag ng Malwarebytes sa isang ipinamahaging email na alerto. “Kung ikaw ay nag-aalala, mag-sign in sa iyong Instagram account at i-reset ang iyong password sa isang bago, malakas, natatanging password.”
Ang bagong repost na dataset ay sinasabing kasama ang usernames, email, mga numero ng telepono, mga pisikal na address, at account metadata, na ginagawa itong kaakit-akit para sa mga scammer at magnanakaw ng pagkakakilanlan. Noong Enero 10, wala pang inilabas na pampublikong pahayag ang Meta, habang tumaas ang mga ulat ng hindi awtorisadong emails para sa pag-reset ng password. Lumang data, bagong pinsala—dahil ang internet ay hindi nakakalimot, at gayundin ang mga cybercriminal. Ang nagpapasakit lalo sa pagtagas na ito ay kung paano ito ginagamit.
Hindi nagbo-broadcast ang mga atake ng mga halatang scam na email; sa halip, nilulunsad nila ang mga lehitimong mensahe para sa pag-reset ng Instagram password mula sa totoong security domain ng platform, umaasa sa kalituhan upang gawin ang maruming gawain. Sa sapat na personal na mga detalye sa kamay, ang mga masasamang aktor ay maaaring umakyat mula sa phishing hanggang sa SIM swapping at nakatutok na pandaraya, lalo na para sa mga user na nagre-recycle ng mga password sa iba’t ibang site.
Binalaan ng Malwarebytes ang paglabag sa panahon ng karaniwang dark web monitoring, nagpapakita kung paano maaaring magdulot pa rin ng napapanahong mga pag-atake ang recycled data. Bagaman ang pagkakalantad ay lumilitaw na pandaigdig—na may kumpirmadong epekto sa ilang bahagi ng Europa—ang profile ng panganib ay unibersal: pag-agaw ng account, pandaraya sa pananalapi, at isang sariwang paalala na ang nai-scrap na data ay tumatanda tulad ng gatas, hindi alak. Ang solusyon ay hindi nakakatuwa ngunit epektibo: mas malalakas na mga password, two-factor authentication, at isang sapat na pag-aalinlangan sa anumang “agalit” na email na humihingi ng mga pag-click.
FAQ 🔒
- Isa ba ito sa bagong Instagram hack?
Hindi, ang data ay iniulat na nagmula sa isyu ng API scraping noong 2024 at muling lumutang publiko noong Enero 2026. - Anong impormasyon ang nalantad?
Kasama ang usernames, email, mga numero ng telepono, bahagya o ganap na mga address, at account metadata. - Bakit nakakatanggap ang mga user ng totoong email sa pag-reset ng password?
Inaabuso ng mga magkakatunggali ang lehitimong sistema ng pag-reset ng Instagram upang magmukhang tunay ang mga pagtatangka ng phishing. - Ano ang dapat gawin ngayon ng mga apektadong user?
Agad na magpalit ng mga password, paganahin ang two-factor authentication, at bantayan ang mga account para sa kahina-hinalang aktibidad.
