1 月 11 日消息,安全公司 Malwarebytes 昨日警告称,该公司在暗网监控时发现了一起涉及 1750 万用户的 Instagram 数据泄露事件。
据介绍,此次泄露并非传统的服务器入侵,而是攻击者通过一个在 2024 年末可能未受保护的 API 端点,系统性地抓取了公开接口中的数据。注意到,泄露的信息包括用户的全名、电子邮件地址、电话号码以及位置数据,但不包含密码。
尽管密码未被泄露,但攻击者已经开始“武装化”利用这些数据。Ins 用户普遍反映收到了大量的密码重置通知邮件 —— 攻击者正利用 Instagram 自身的安全功能制造混乱,以创造机会冒充官方人员实施诈骗、钓鱼活动,或者尝试窃取登录凭证。
安全人员指出,电子邮件地址与电话号码同时泄露,为“SIM 卡交换攻击”(SIM swapping)创造了绝佳条件,即犯罪分子通过控制用户手机号,拦截双重验证(2FA)验证码。
截至目前,Instagram 的母公司 meta 尚未对此事件发表任何公开声明,也未说明数据如何泄露或是否会直接通知受影响的用户。
