Il più grande furto di dati di Instagram: milioni di utenti esposti
Un database attribuito a Instagram e un’ondata di mail di reset password sollevano dubbi. Ecco cosa è emerso e cosa dice Meta.
Nelle ultime ore si è acceso un caso che coinvolge Instagram e milioni di account. Al centro della vicenda c’è la diffusione online di un vasto archivio di dati attribuiti alla piattaforma, mentre un’ondata di e-mail di reset password ha alimentato timori di compromissioni in corso. La ricostruzione dei fatti, però, resta controversa e richiede alcune precisazioni.
- Instagram, sono stati rubati dati?
- Le e-mail di reimpostazione della password Instagram
- Cosa sappiamo sul database finito online?
- Come proteggere il proprio account Instagram?
Instagram, sono stati rubati dati?
Secondo numerose segnalazioni, un dataset contenente informazioni riferite a oltre 17 milioni di profili Instagram sarebbe comparso su forum del dark web. Le prime segnalazioni sono state riprese anche da Malwarebytes, che ha parlato di dati autentici in circolazione e di un rischio concreto legato a campagne di phishing mirate. Nei file condivisi figurerebbero, in misura variabile, identificativi degli account, nomi utente, indirizzi e-mail, numeri di telefono e, in alcuni casi, indirizzi fisici. Non emergono invece evidenze della presenza di password in chiaro.
Le e-mail di reimpostazione della password Instagram
La comparsa del database coincide con le segnalazioni di numerosi utenti che hanno ricevuto e-mail di reset password senza averne fatto richiesta. Questo elemento ha portato inizialmente a ipotizzare un attacco in corso, ma su questo punto la posizione ufficiale di Meta è netta. L’azienda ha dichiarato di aver risolto un problema tecnico che consentiva a soggetti esterni di inviare richieste di reimpostazione, precisando che non si è verificata alcuna violazione dei sistemi interni e che gli account non sono stati compromessi. Le comunicazioni ricevute, secondo Meta, possono quindi essere ignorate.
Cosa sappiamo sul database finito online?
Resta aperta la questione dell’origine dei dati finiti nei circuiti criminali. Alcuni ricercatori ipotizzano che il materiale derivi da attività di scraping legate a vecchie esposizioni delle API della piattaforma, avvenute in passato, mentre altri parlano di una raccolta più recente. Meta afferma di non avere evidenza di incidenti API né nel 2022 né nel 2024 e contesta l’ipotesi di un nuovo data breach. In assenza di prove tecniche condivise, non è possibile stabilire con certezza quando e come le informazioni siano state effettivamente raccolte.
Al di là del dibattito sulle responsabilità, il tema centrale resta l’utilizzo potenziale di dati reali associati a profili social. Anche in assenza di password, informazioni come indirizzi e-mail e numeri di telefono possono essere sfruttate per tentativi di phishing (truffa effettuata su Internet), smishing (truffa informatica che usa SMS) e ingegneria sociale (tecnica di manipolazione psicologica) particolarmente credibili, spesso costruiti proprio facendo leva sulla confusione generata da comunicazioni che appaiono legittime.
Come proteggere il proprio account Instagram?
In questo contesto, gli esperti invitano alla prudenza per evitare di perdere il profilo. Le richieste di reimpostazione non sollecitate vanno ignorate (evitando di cliccare link o diffondere codici) e qualsiasi verifica sull’account dovrebbe avvenire esclusivamente attraverso l’accesso diretto ai canali ufficiali di Instagram. L’episodio riporta così al centro il tema della protezione dei dati personali sulle grandi piattaforme e la difficoltà, per gli utenti, di orientarsi tra allarmi, smentite e informazioni frammentarie quando emergono archivi di questo tipo.
