一千七百五十万个Instagram账户在暗网上不情愿地再次出现,这要归功于一个旧的API漏洞,现在又给我们带来了新的麻烦。
2024年泄露的Instagram数据重新出现,暴露了1750万个账户
根据网络安全公司Malwarebytes的一份安全公告,大约1750万Instagram用户的数据在Breachforums上自由传播,这些数据于2026年1月初再次出现,来自一个名为“Solonik”的威胁行为者。令人意外的是,这并不是一次全新的泄露。据报道,这些数据可以追溯到2024年底一个配置错误的Instagram API,它允许大规模抓取用户资料,在消失之前悄悄收集结构化信息——直到现在。
“小心那些声称来自Instagram的邮件和信息,因为它们可能是恶意黑客发送的,试图欺骗你交出密码,”Malwarebytes在分发的警报邮件中解释说。“如果你担心,请登录你的Instagram账户,并将密码重设为新的、强大的、独特的密码。”
据说新重新发布的数据集包括用户名、电子邮件、电话号码、物理地址和账户元数据,使其成为诈骗者和身份窃贼的目标。截至1月10日,Meta尚未发表公开声明,而未经请求的密码重置邮件报告激增。旧数据,新损害——因为互联网从未忘记,网络罪犯也一样。尤其令人不快的是,这次泄露的使用方式。
攻击者并没有发送明显的诈骗邮件;相反,他们正从平台的真正安全域触发合法的Instagram密码重置信息,借助混乱来达到目的。手中拥有足够的个人细节,坏人可以从网络钓鱼升级到SIM卡交换和定向欺诈,特别是对于在多个网站上重复使用密码的用户。
Malwarebytes在例行的暗网监控中标记了这一漏洞,展示了回收的数据如何在当前攻击中仍然起作用。虽然曝光似乎是全球性的——其中在欧洲部分地区得到证实——风险概况是普遍的:账户接管、金融欺诈,以及一个关于抓取的数据会如牛奶般腐坏而非如美酒般醇厚的新提醒。解决办法虽然不吸引人,但有效:更强的密码、双因素认证,以及对任何“紧急”邮件要求点击的健康怀疑。
FAQ 🔒
- 这是一次新的Instagram攻击吗?
不是,据报道,数据起源于2024年的API抓取问题,仅在2026年1月重新公开出现。 - 泄露了哪些信息?
包括用户名、电子邮件、电话号码、部分或完整地址和账户元数据。 - 为什么用户会收到真正的密码重置电子邮件?
攻击者利用Instagram的合法重置系统使网络钓鱼尝试看起来真实。 - 受影响的用户现在应该做什么?
立即更改密码,启用双因素认证,并监控账户是否有可疑活动。
