Η Malwarebytes, εταιρεία λογισμικού antivirus, υποστήριξε αρχικά ότι εντοπίστηκε διαρροή «ευαίσθητων πληροφοριών» που αφορά 17,5 εκατομμύρια χρήστες του Instagram. Από την πλευρά του, το Instagram δήλωσε ότι δεν υπήρξε παραβίαση και ότι οι λογαριασμοί των χρηστών παραμένουν «ασφαλείς».
Η Malwarebytes ανέφερε ότι στα δεδομένα που διέρρευσαν περιλαμβάνονται ονόματα χρήστη στο Instagram, φυσικές διευθύνσεις, αριθμοί τηλεφώνου, διευθύνσεις email και άλλα στοιχεία. Σύμφωνα με την ίδια εταιρεία, τα δεδομένα «είναι διαθέσιμα προς πώληση στο dark web» και θα μπορούσαν να αξιοποιηθούν από κυβερνοεγκληματίες.
Σε email προς τους πελάτες της, η Malwarebytes σημείωσε ότι ανακάλυψε το περιστατικό κατά τη διάρκεια της τακτικής σάρωσης του dark web που πραγματοποιεί. Η εταιρεία συνέδεσε την υπόθεση με πιθανό συμβάν που σχετίζεται με έκθεση του Instagram API από το 2024.
Οι αναφορές αυτές συνοδεύτηκαν από την πρακτική συνέπεια που είδαν οι χρήστες στην καθημερινή τους χρήση: επαναλαμβανόμενα email από το Instagram για αιτήματα αλλαγής ή επαναφοράς κωδικού. Η Malwarebytes προειδοποίησε ότι πληροφορίες αυτού του τύπου θα μπορούσαν να οδηγήσουν σε πιο σοβαρές επιθέσεις, όπως απόπειρες ηλεκτρονικού «ψαρέματος» (phishing) ή καταλήψεις λογαριασμών.
Το Instagram, απαντώντας στη συζήτηση που προκλήθηκε, ανέφερε σε ανάρτηση στο X ότι οι χρήστες μπορούν να αγνοήσουν τα πρόσφατα email που ζητούν επαναφορά κωδικού. Όπως διατύπωσε η πλατφόρμα, αντιμετωπίστηκε ένα ζήτημα που επέτρεπε σε εξωτερικό μέρος να ζητά την αποστολή email επαναφοράς κωδικού για ορισμένους ανθρώπους. Παράλληλα, τόνισε ότι δεν υπήρξε παραβίαση των συστημάτων της και ότι οι λογαριασμοί Instagram παραμένουν ασφαλείς.
Παρότι το Instagram επιμένει ότι δεν πρόκειται για παραβίαση δεδομένων, το κείμενο των σχετικών οδηγιών προς τους χρήστες εστιάζει σε βασικά βήματα προστασίας. Συνιστάται η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (two-factor authentication) και η αλλαγή κωδικού πρόσβασης. Επιπλέον, οι χρήστες μπορούν να ελέγξουν ποιες συσκευές είναι συνδεδεμένες στον λογαριασμό τους μέσω του Accounts Center της Meta.
Η υπόθεση παραμένει συνδεδεμένη με δύο παράλληλες αφηγήσεις: την αναφορά της Malwarebytes για διαρροή στοιχείων μεγάλης κλίμακας και τη θέση του Instagram ότι δεν υπήρξε παραβίαση, αλλά ένα τεχνικό ζήτημα που προκάλεσε καταιγισμό αιτημάτων για email επαναφοράς κωδικού.
