Instagram scrapelt adatok eladók
A Meta még nem erősítette meg, hogy az Instagram felületét egy jelentős adatszivárgás érte, amely során mintegy 17,5 millió Instagram-felhasználó személyes adatai kerültek nyilvánosságra. A szivárgást először a Malwarebytes kiberbiztonsági kutatói fedezték fel, akik megerősítették, hogy a sötétwebes fórumokon már forog egy INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK címmel ellátott adathalmaz, amely JSON és TXT fájlokban tartalmazza a felhasználók email-címeit, telefonszámait, felhasználónévét és részben lakcímeiket is. Az adatokat egy Solonik álnéven tevékenykedő támadó tette közzé, aki állítása szerint az Instagram API-jának egy 2024-es sebezhetőségét kihasználva gyűjtötte össze az információkat, nem közvetlenül törtek be az Instagram szervereire, hanem automatizált adatszedő (scraping) módszerekkel, vagy egy rosszul konfigurált API-végponton keresztül.
A szivárgás következtében számos Instagram-felhasználó kapott váratlan jelszó-visszaállítási kéréseket, ami arra utal, hogy a támadók már aktívan próbálják kihasználni az elcsent adatokat. Bár a kiszivárgott adathalmaz nem tartalmaz jelszavakat, az email-címek és telefonszámok kombinációja tökéletes alapot nyújt a SIM-swap támadásokhoz és a kifinomult szociális mérnöki trükkökhez, például akkor, ha a támadók Instagram támogatási csapatnak álcázva próbálnak kétfaktoros azonosítási kódokat vagy belépési adatokat kicsalni a felhasználóktól.
Az eset nem az Instagram rendszerének közvetlen feltöréséről szól, hanem arról, hogy a platform API-jának biztonsági korlátai nem voltak elegendőek a nagy mennyiségű adat lekérdezésének megakadályozására. Ez a szivárgás is csak sorban áll az utóbbi években sorra kerülő nagy Instagram-adatvédelemmel kapcsolatos botrányok mellett, 2024 novemberében 489 millió felhasználói rekord került nyilvánosságra hasonló módon. A szakértők szerint a felhasználóknak érdemes lenne azonnal bekapcsolni a kétfaktoros azonosítást, jelszavukat megváltoztatni, és gyanús email-ekre, üzenetekre figyelmeztetnek, amelyek az Instagramtól származnak állítják magukat.
