Το Instagram λέει ότι διόρθωσε ένα σφάλμα που επέτρεπε στους παράγοντες απειλών να ζητούν μαζικά email επαναφοράς κωδικού πρόσβασης, εν μέσω ισχυρισμών ότι δεδομένα από περισσότερους από 17 εκατομμύρια λογαριασμούς Instagram αποκόπηκαν και διέρρευσαν στο διαδίκτυο.
«Διορθώσαμε ένα πρόβλημα που επέτρεπε σε ένα εξωτερικό μέρος να ζητήσει email επαναφοράς κωδικού πρόσβασης για ορισμένους χρήστες του Instagram», είπε ένας εκπρόσωπος της Meta στο BleepingComputer.
“Θέλουμε να διαβεβαιώσουμε όλους ότι δεν υπήρξε παραβίαση των συστημάτων μας και οι λογαριασμοί των χρηστών στο Instagram παραμένουν ασφαλείς. Οι άνθρωποι μπορούν να αγνοήσουν αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου και ζητούμε συγγνώμη για οποιαδήποτε σύγχυση μπορεί να προκάλεσε.”
Μια φρενίτιδα στα μέσα ενημέρωσης σχετικά με μια υποτιθέμενη παραβίαση δεδομένων του Instagram ξεκίνησε μετά το Malwarebytes προειδοποίησε τους πελάτες της ότι οι εγκληματίες του κυβερνοχώρου είχαν κλέψει δεδομένα από 17,5 εκατομμύρια λογαριασμούς.
Αυτά τα υποτιθέμενα δεδομένα του Instagram κυκλοφόρησαν δωρεάν σε πολλά φόρουμ hacking, με την αφίσα να ισχυρίζεται ότι συγκεντρώθηκε μέσω μη επιβεβαιωμένη διαρροή API του Instagram 2024.
Συνολικά, τα κοινόχρηστα δεδομένα περιέχουν 17.017.213 προφίλ λογαριασμών Instagram, συμπεριλαμβανομένων αριθμών τηλεφώνου, ονομάτων χρηστών, ονομάτων, φυσικών διευθύνσεων, διευθύνσεων email και αναγνωριστικών Instagram.
Δεν υπάρχουν όλες αυτές οι πληροφορίες για κάθε εγγραφή, με ορισμένες να περιέχουν μόνο ένα αναγνωριστικό Instagram και ένα όνομα χρήστη.
Ερευνητές κυβερνοασφάλειας στο X ισχυρίζονται [1, 2] ότι τα δεδομένα απόξεσης προέρχονται από ένα περιστατικό απόξεσης API του 2022, αλλά δεν έχουν παράσχει κανένα σαφές στοιχείο που να το επιβεβαιώνει.
Επιπλέον, η Meta είπε στο BleepingComputer ότι δεν γνωρίζει τυχόν περιστατικά API το 2022 ή το 2024.
Ωστόσο, το Instagram έχει υποφέρει στο παρελθόν από περιστατικά απόξεσης API, όπως α bug του 2017 που έγινε αντικείμενο εκμετάλλευσης να ξύσει και να πουλήσει τα προσωπικά στοιχεία ενός φερόμενοι 6 εκατομμύρια λογαριασμοί.
Δεν είναι ξεκάθαρο εάν τα δεδομένα του Instagram που διέρρευσαν πρόσφατα είναι μια συλλογή της διαρροής του 2017 και πρόσθετων πληροφοριών από τα τελευταία δύο χρόνια.
Η BleepingComputer επικοινώνησε με το άτομο που διέρρευσε τις πληροφορίες του Instagram για να επιβεβαιώσει πότε κλάπηκαν, αλλά δεν έλαβε απάντηση.
Το Instagram αρνείται μια παραβίαση
Προς το παρόν δεν υπάρχουν στοιχεία ότι αυτό το περιστατικό αντιπροσωπεύει μια νέα παραβίαση δεδομένων Instagram. Η Meta λέει ότι δεν γνωρίζει τυχόν συμβιβασμούς στο API το 2022 ή το 2024 και ότι δεν υπήρξε νέα παραβίαση.
Επιπλέον, οι ερευνητές δεν έχουν παράσχει αποδείξεις ότι το σύνολο δεδομένων που διέρρευσε ελήφθη μέσω μιας πρόσφατης ευπάθειας.
Αντίθετα, οι πληροφορίες υποδηλώνουν ότι τα δεδομένα μπορεί να είναι μια συλλογή προηγούμενων πληροφοριών από πολλαπλές πηγές για αρκετά χρόνια.
Τα καλά νέα είναι ότι αυτά τα δεδομένα που διέρρευσαν δεν περιέχουν κωδικούς πρόσβασης, επομένως δεν χρειάζεται να τα αλλάξετε.
Ωστόσο, οι άνθρωποι πρέπει να παραμείνουν σε επαγρύπνηση έναντι στοχευμένου phishing, smishing (phishing κειμένου) και επιθέσεων κοινωνικής μηχανικής που χρησιμοποιούν αυτές τις πληροφορίες.
Είναι σύνηθες φαινόμενο οι φορείς απειλών να χρησιμοποιούν δεδομένα που έχουν διαρρεύσει για να προσπαθήσουν να υποκλέψουν πρόσθετες πληροφορίες, όπως ο κωδικός πρόσβασης ενός χρήστη.
Εάν λάβετε ένα email επαναφοράς κωδικού πρόσβασης στο Instagram ή κωδικούς κειμένου στον αριθμό τηλεφώνου σας και δεν ξεκίνησε η ανάκτηση λογαριασμού, τότε απλώς αγνοήστε τα και διαγράψτε τα.
Εάν δεν έχετε ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων στο λογαριασμό σας, συνιστάται ανεπιφύλακτα να ενεργοποιήστε το για να αυξήσετε την ασφάλειά σας.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
