安全公司Malwarebytes警告稱,在暗網監控中發現一起Instagram的數據泄露事件。此次事件涉及到近1750萬用戶。
據介紹,此次數據泄露並非由傳統伺服器入侵導致,而是攻擊者利用2024年末可能未受保護的API端點,系統性抓取了公開接口中的資訊。
泄露的數據包括用戶的全名、電子郵件地址、電話號碼以及位置資訊,但不包含密碼。
雖然密碼未被暴露,已有大量Instagram用戶報告收到頻繁的密碼重置通知郵件。
這也表明攻擊者正在濫用平台安全機制製造混亂,以實施釣魚或詐騙活動,並嘗試獲取用戶登錄憑證。
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more.
安全人員強調,電子郵件與電話號碼的同時泄露為「SIM卡交換攻擊」提供了便利條件,攻擊者可藉此控制用戶手機號並攔截雙重驗證(2FA)驗證碼。
截至目前,Instagram母公司Meta尚未就此事件發布任何官方聲明,也未說明數據泄露的具體原因或是否將通知受影響用戶。
