Разработчики социальной сети Instagram* устранили уязвимость, позволявшую сторонним лицам массово инициировать отправку писем для сброса пароля пользователям. На этом фоне в сети появился крупный дамп с данными порядка 17,5 млн учетных записей, который уже обсуждается на хакерских форумах и в профессиональном сообществе кибербезопасности.
Массовые письма для сброса пароля Instagram: что произошло
По данным издания BleepingComputer, в компании Meta** подтвердили, что недавно устранили проблему, позволявшую третьим лицам в автоматическом режиме запрашивать отправку email-сообщений для сброса пароля от Instagram. Речь идет не о взломе учетных записей, а о механизме, который позволял злоумышленникам инициировать ненужные пользователю письма восстановления доступа.
Представители компании заявили, что инфраструктура Instagram взломана не была, учетные записи продолжают защищаться стандартными средствами безопасности, а сами письма для сброса пароля можно игнорировать, если вы их не запрашивали. Важно понимать: смена пароля происходит только в том случае, если пользователь сам перейдет по ссылке из письма и завершит процедуру.
Тем не менее такая уязвимость создает благодатную почву для социальной инженерии и фишинга. Массовая рассылка легитимных писем от сервиса может использоваться как «шумовой фон» для подмены писем злоумышленниками, а также вызывать у пользователей панику и подталкивать их к необдуманным действиям.
Связь уязвимости со сливом базы 17,5 млн аккаунтов
Параллельно с исправлением уязвимости исследователи Malwarebytes сообщили о публикации дампа с информацией о примерно 17,5 млн аккаунтов Instagram. База распространяется бесплатно на различных хакерских форумах и позиционируется как результат утечки данных через API Instagram в 2024 году.
Что известно о дампе Instagram-аккаунтов
По информации специалистов, датасет содержит сведения о 17 017 213 профилях. В зависимости от конкретной записи, в базе могут присутствовать следующие поля:
— номера телефонов;
— имена пользователей (username);
— реальные имена;
— физические адреса;
— email-адреса;
— уникальные Instagram ID.
При этом структура дампа неполная: для части учетных записей доступны только Instagram ID и имя пользователя, без чувствительных контактных данных. Это типичная картина для массивов, формировавшихся на протяжении длительного времени из разных источников.
Опубликовавший базу злоумышленник утверждает, что данные были собраны в 2024 году в результате уязвимости API Instagram. Однако ряд ИБ-экспертов предполагает, что «свежая» утечка на самом деле может относиться к периоду около 2022 года и быть следствием массового скрапинга (автоматизированного сбора общедоступной информации), а не прямого взлома систем. Одновременно не исключается, что новая база — это компиляция известных еще с 2017 года утечек через API и более поздних сборов данных.
Meta, в свою очередь, заявляет, что компании не известно о компрометациях через API, произошедших в 2022 или 2024 годах. На момент публикации нет общедоступных технических доказательств, однозначно подтверждающих ни версию о взломе, ни версию о чистом скрапинге.
Скрапинг против взлома: в чем разница для пользователя
С технической точки зрения важно различать утечку через взлом и массовый скрапинг:
При взломе атакующий получает доступ к закрытым данным (хэшам паролей, токенам доступа, внутренним полям профиля и т.п.). Это серьезно повышает риск захвата аккаунта, повторного использования паролей и целевых атак.
Скрапинг, напротив, чаще использует публично доступную или полуоткрытую информацию (например, профили с открытыми контактами), собирая ее в крупные базы. Формально это может происходить без нарушения периметра безопасности сервиса, но последствия для пользователя не менее ощутимы: рост спама, таргетированного фишинга, попыток вымогательства и атак с использованием персональных данных.
В случае с рассматриваемым дампом состав полей (имя, username, email, телефон, адрес) хорошо коррелирует с типичной картиной именно скрапинга и агрегации информации за несколько лет, хотя окончательных выводов пока нет.
Риски для пользователей и практические рекомендации
Даже если пароли от аккаунтов не утекли, комбинация email + телефон + имя + адрес значительно повышает качество и опасность фишинговых атак. Злоумышленники могут подстраивать письма и сообщения под конкретного человека, имитировать легитимную переписку от имени сервиса, логистической компании или банка.
Чтобы снизить риски, имеет смысл соблюдать несколько базовых, но эффективных мер кибербезопасности:
1. Игнорируйте письма для сброса пароля, которые вы не запрашивали.
Не переходите по ссылкам в таких сообщениях и не вводите учетные данные по собственной инициативе. Если есть сомнения — зайдите в Instagram через официальный сайт или приложение, без перехода по ссылке из письма.
2. Включите двухфакторную аутентификацию (2FA).
Предпочтительно использовать приложения-аутентификаторы, а не SMS, чтобы снизить риск перехвата кода или атак с подменой SIM-карты.
3. Используйте уникальные, сложные пароли для каждого сервиса.
Менеджер паролей поможет создавать и хранить длинные комбинации, исключая повторное использование одного и того же пароля на разных ресурсах.
4. Регулярно проверяйте, какие данные вы делаете публичными.
Пересмотрите настройки конфиденциальности: сократите объем открытой контактной информации, ограничьте видимость номера телефона и email, особенно если используете их для восстановления доступа.
5. Будьте особенно внимательны к таргетированным письмам и сообщениям.
Если в сообщении корректно указаны ваши имя, username или телефон, это не гарантирует его легитимность. Проверяйте домен отправителя, не переходите по сокращенным или подозрительным ссылкам и при необходимости сверяйте информацию через официальный сайт или поддержку.
Ситуация вокруг уязвимости сброса пароля и дампа 17,5 млн аккаунтов Instagram наглядно показывает, что даже без прямого взлома сервиса персональные данные могут оказаться в руках злоумышленников и использоваться против пользователей. Чем больше информации о нас хранится в открытых источниках и сторонних базах, тем важнее выстраивать собственную «гигиену кибербезопасности»: использовать 2FA, уникальные пароли, минимизировать лишние данные в профилях и критично относиться к любым запросам на ввод учетных данных. Чем выше осведомленность пользователей, тем меньше шансов, что подобные инциденты завершатся успешными атаками.
* Социальная сеть Instagram и компания Meta признаны экстремистскими организациями и запрещены на территории Российской Федерации.
