Użytkownicy, w tym także dziennikarze redakcji technologicznych, przez kilka dni otrzymywali liczne wiadomości e-mail informujące o próbach resetu hasła. Skala zjawiska była na tyle duża, że wielu odebrało je jako dowód na poważny incydent w kwestii cyberbezpieczeństwa. Tym bardziej, że niemal równolegle firma Malwarebytes informowała o rzekomym wycieku danych nawet 17,5 mln kont na Instagramie.

Masowa wysyłka maili do użytkowników Instagrama

Według tych doniesień w ręce cyberprzestępców miały trafić m.in. nazwy użytkowników, adresy e-mail, numery telefonów, a nawet adresy fizyczne, które następnie miały być oferowane na sprzedaż w dark webie. To właśnie te dane miały umożliwić masowe generowanie próśb o reset haseł.

Instagram stanowczo zaprzeczył, by doszło do włamania lub wycieku danych. W opublikowanym w serwisie X oświadczeniu firma poinformowała, że usunęła błąd, który pozwalał „zewnętrznej stronie” generować prośby o reset hasła dla części użytkowników. Platforma podkreśla, że jej infrastruktura nie została naruszona, a konta pozostają bezpieczne. Według firmy otrzymane e-maile można po prostu zignorować.

Czy na pewno nie ma powodu do zmartwień?

Mimo uspokajających deklaracji, część redakcji technologicznych zwraca uwagę na brak szczegółów. The Verge podkreśla, że Instagram nie wyjaśnił dokładnie, na czym polegał błąd ani w jaki sposób zewnętrzny podmiot był w stanie wywołać masową wysyłkę wiadomości.

Engadget przypomina z kolei, że ostrzeżenie Malwarebytes mogło wynikać z analizy danych powiązanych z potencjalnym wyciekiem przez API Instagrama w 2024 roku – choć nie ma potwierdzenia, że to właśnie on stoi za obecną sytuacją.

Inny wątek porusza PCMag, który ostrzega, że część krążących wiadomości może mieć charakter phishingowy. W takim scenariuszu użytkownik, zaniepokojony rzekomą próbą włamania, klika w link i sam przekazuje swoje dane logowania oszustom.

Eksperci zalecają, by nie korzystać z linków do zmiany hasła zawartych w e-mailach – nawet jeśli wyglądają wiarygodnie. Wszelkie zmiany najlepiej przeprowadzać bezpośrednio z poziomu aplikacji Instagram lub Centrum kont Meta.