Instagram зіткнувся одразу з двома помітними інфоприводами у сфері кібербезпеки: виправленням уразливості механізму скидання пароля та публікацією масштабного дампа з даними близько 17,5 млн облікових записів. Обидві події активно обговорюються на профільних форумах і піднімають питання, наскільки захищені користувачі соцмережі від фішингу, скрапінгу та цільових атак.
Уразливість скидання пароля Instagram: як працював збій
За інформацією видання BleepingComputer, компанія Meta повідомила, що усунула проблему, яка дозволяла стороннім особам масово й автоматично ініціювати надсилання легітимних листів для скидання пароля Instagram-користувачам. Йшлося не про прямий злам акаунтів, а про зловживання механізмом відновлення доступу.
З технічної точки зору це виглядало як можливість скриптом або ботом багаторазово викликати функцію «забули пароль?», не проходячи захист від автоматизованих дій. У результаті власники акаунтів отримували неочікувані листи на email, хоча самі скидання пароля не ініціювали.
Meta підкреслює, що інфраструктуру Instagram не було зламано, паролі не розкривалися, а облікові записи залишалися захищеними стандартними механізмами безпеки. Скидання пароля можливе лише тоді, коли сам користувач переходить за посиланням з листа й завершить процедуру.
Втім, подібна уразливість створює сприятливе середовище для соціальної інженерії та фішингу. Масовий потік реальних листів від сервісу можна використати як «шум», у який злочинці підмішують підроблені повідомлення, або як спосіб налякати користувача і змусити його поспіхом натиснути на шкідливе посилання.
Дамп 17,5 млн акаунтів Instagram: що відомо про витік даних
Паралельно дослідники Malwarebytes виявили у вільному доступі на хакерських форумах базу приблизно з 17,5 млн акаунтів Instagram, яку автори позиціонують як результат «утечки через API Instagram у 2024 році».
Склад і структура дампа даних Instagram
За оцінками фахівців, у наборі міститься інформація про 17 017 213 профілів. Залежно від конкретного запису, у базі можуть бути наступні поля:
— номер телефону;
— username (нікнейм в Instagram);
— ім’я та прізвище;
— фізична поштова адреса;
— email-адреса;
— унікальний ідентифікатор акаунта (Instagram ID).
Структура дампа неповна: для частини профілів доступні лише Instagram ID та username без контактних даних. Це характерно для масивів, які агрегуються роками із різних джерел і за допомогою різних методів збору інформації.
Автор публікації стверджує, що дані були зібрані у 2024 році через уразливість API Instagram. Водночас низка експертів із кібербезпеки припускає, що левова частка записів може датуватися орієнтовно 2022 роком і є наслідком масштабного скрапінгу (автоматизованого збору публічної інформації), а не прямого зламу інфраструктури.
Не виключено також, що представлений дамп — це компіляція раніших витоків, включно з відомими ще з 2017 року ексфільтраціями через API, доповненими новішими скрапінг-збірками. Meta, зі свого боку, заявляє, що компанії не відомо про компрометації через API у 2022 чи 2024 роках, а технічних доказів конкретного сценарію інциденту наразі не оприлюднено.
Скрапінг чи злам: чим це відрізняється для користувача
Для розуміння реальних ризиків важливо відрізняти злам із доступом до закритих даних від масового скрапінгу публічної інформації.
Під час повноцінного зламу атакувальник може отримати доступ до внутрішніх полів профілю, хешів паролів, токенів доступу та іншої технічної інформації. Це істотно підвищує ризик захоплення акаунта, атак на інші сервіси (за умови повторного використання паролів) та складних цільових операцій.
Скрапінг зазвичай спирається на відкриті або напівпублічні дані: профілі, які користувач сам зробив видимими, контакти, вказані в біографії, інформацію з пов’язаних сервісів. Формально периметр безпеки не порушується, але наслідки для користувача відчутні: зростання кількості спаму, таргетованого фішингу, шахрайських дзвінків та спроб шантажу з використанням персональних даних.
Набір полів у поточному дампі (ім’я, username, email, телефон, адреса) добре узгоджується з картиною саме тривалого скрапінгу та агрегації з різних джерел. Остаточні висновки можна буде робити лише після глибокого технічного аналізу.
Ризики для користувачів Instagram і рекомендації з кібербезпеки
Навіть без прямих витоків паролів комбінація email + телефон + ім’я + адреса суттєво підвищує якість та небезпечність фішингових кампаній. Зловмисники можуть формувати листи та повідомлення, максимально схожі на справжню комунікацію від соцмережі, банку чи служби доставки.
1. Ігноруйте листи зі скиданням пароля, які ви не запитували.
Не переходьте за посиланнями з таких повідомлень. Якщо є сумніви, відкрийте Instagram через офіційний застосунок або сайт, ввівши адресу вручну, а не з листа.
2. Активуйте двофакторну автентифікацію (2FA).
Найбезпечніший варіант — застосунок-аутентифікатор (Google Authenticator, Authy тощо), а не SMS. Це знижує ризики перехоплення одноразових кодів і атак з підміною SIM-картки.
3. Використовуйте унікальні, складні паролі для кожного сервісу.
Менеджер паролів дозволяє генерувати та зберігати довгі комбінації, уникаючи повторного використання одного й того ж пароля в різних акаунтах.
4. Перегляньте, які дані у вашому профілі є публічними.
Оптимізуйте налаштування конфіденційності: приховайте номер телефону та email від широкого загалу, особливо якщо вони використовується для відновлення доступу.
5. Будьте пильними до персоналізованих листів і повідомлень.
Наявність у повідомленні ваших справжніх імені, username чи номера телефону не гарантує його легітимність. Перевіряйте домен відправника, уникайте скорочених і підозрілих посилань, за потреби звіряйте інформацію через офіційні канали підтримки.
Ситуація з уразливістю механізму скидання пароля та публікацією дампа на 17,5 млн акаунтів Instagram демонструє: навіть без прямого злому сервісу значні масиви персональних даних можуть опинитися в руках зловмисників і стати основою для точних, психологічно влучних атак. Чим менше зайвої інформації ми залишаємо у відкритому доступі, тим складніше нас атакувати. Варто вже зараз ввімкнути 2FA, оновити паролі, мінімізувати публічні контакти в профілях і критично ставитися до будь-яких запитів на введення облікових даних — це проста, але ефективна інвестиція у власну кіберстійкість.
* Соціальна мережа Instagram та компанія Meta мають обмеження на території окремих країн; користувачам слід враховувати місцеве законодавство.
