*Meta отрицает взлом *Instagram, несмотря на слив данных более 17 млн пользователей

Накануне в сети появилась база данных с профилями более чем 17 млн пользователей *Instagram.

Информация быстро разошлась по форумам и соцсетям, после чего появились сообщения о якобы масштабном взломе сервиса. Поводом для шума стало предупреждение от антивирусной компании Malwarebytes, которая сообщила клиентам о продаже и распространении этих данных.

Но, внезапно, сама *Meta официально заявила, что никакого взлома *Instagram не было. По словам представителей компании, речь идет не о компрометации инфраструктуры, а о другом инциденте, не связанном с утечкой паролей или доступом к аккаунтам.

Позиция *Meta и *Instagram

В комментарии для СМИ, *Meta подтвердила, что недавно исправила баг, позволявший массово отправлять запросы на сброс пароля.

Злоумышленники могли инициировать такие запросы для разных аккаунтов, из-за чего пользователи получали неожиданные письма и SMS с кодами восстановления.

При этом компания подчеркивает: *Instagram не был взломан, а учетные записи остаются защищенными. Пользователям же посоветовали просто игнорировать подобные сообщения, если они не запрашивали восстановление доступа.

Что содержится в слитой базе

Опубликованный датасет включает около 17 млн профилей *Instagram. В нем встречаются имена пользователей, никнеймы, email-адреса, номера телефонов, физические адреса и ID аккаунтов.

При этом набор данных неполный: у некоторых записей есть только ID и имя пользователя, без контактной информации. Важно, что в базе нет паролей.

Да, это снижает риск мгновенного захвата аккаунтов. Но в то же время не делает ситуацию полностью безобидной.

Пост на форуме с утечкой данных *Instagram

Новая утечка или старые данные

Исследователи по безопасности сомневаются, что речь идет о свежем взломе. По их версии, данные могли быть собраны еще несколько лет назад через API-скрейпинг и затем дополнены из других источников.

*Meta заявила, что не знает о компрометации API ни в 2022, ни в 2024 году.

Стоит напомнить, что *Instagram уже сталкивался с подобными инцидентами. Например, в 2017 году через баг в API были собраны данные миллионов пользователей.

Не исключено, что нынешний слив — это компиляция старых утечек.

Что делать пользователям

Менять пароль необходимости нет, но расслабляться тоже не стоит. Утекшие данные могут использоваться для фишинга, SMS-мошенничества и социальной инженерии.

Если вам приходят письма о сбросе пароля без вашего запроса — их лучше удалить.

*Компания Meta и ее продукты признаны экстремистскими, их деятельность запрещена на территории РФ