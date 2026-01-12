В рамките на сериозно ескалиране на сигурността, компанията за киберсигурност Malwarebytes даде тревога за масивно изтичане на данни, засягащо около 17,5 милиона потребители на Instagram. Изтеклият набор от данни, който започна да циркулира в dark wev на 7 януари 2026 година, според съобщенията съдържа „високопроизводителен“ набор от лична информация, включващ потребителски имена, проверени имейл адреси, телефонни номера и физически адреси. Макар нарушението да предизвика вълна от тревога в платформата, мненията остават разделени. Malwarebytes посочва като източник катастрофалното разкриване на API през 2024 година, докато Meta официално отрича всякакво нарушение на вътрешните си системи, отхвърляйки инцидента като „технически проблем“ със системата си за уведомяване за пароли.

Първите признаци за проблеми се появиха по-рано този месец, когато милиони потребители по целия свят започнаха да получават нежелани, но изглеждащи легитимни имейли за нулиране на пароли. Според изследователи по сигурността от CyberInsider, тези уведомления вероятно са били предизвикани от злонамерени лица, които са използвали изтеклите контактни данни, за да проучат активни акаунти или да се опитат да извършат атаки с попълване на потребителски данни. Самият набор от данни беше публикуван в известния форум BreachForums от злонамерен потребител, известен като „Solonik“, който твърди, че информацията е била събрана директно от API на Instagram. Макар че в този конкретен набор от данни не изглежда да са включени пароли, прецизността на контактните данни го превръща във „фабрично настроен“ инструментариум за изключително убедителни фишинг кампании и кражба на самоличност.

Реакцията на Meta е типично защитна. В изявление, публикувано в неделя, 11 януари, говорител потвърди наличието на проблем, който е позволил на външна страна да задейства имейли за нулиране на пароли, но настоя, че „няма нарушение на нашите системи“. Инженерите на Meta твърдят, че оттогава са „поправили“ уязвимостта, която е позволила изпращането на тези масови уведомления. Независими анализатори обаче предполагат, че това може да е случай на семантика, при който данните са били технически извлечени чрез незащитени API крайни точки, а не чрез директно хакване на сървъра – разграничение, което не успокоява 17,5-те милиона души, чиито домашни адреси и телефонни номера сега са достъпни за безплатно изтегляне.

За тези, които искат да защитят своя акаунт, съветът от общността за информационна сигурност е единодушен, игнорирайте нежеланите имейли и отидете директно до източника. Ако сте получили заявка за нулиране, не кликвайте върху никакви линкове в имейла. Вместо това, отидете в Meta Accounts Center чрез официалното приложение на Instagram, за да актуализирате ръчно паролата си и, което е най-важно, да проверите настройките си за двуфакторна автентификация (2FA). Експертите препоръчват да се преминава от кодове, изпращани чрез SMS, към приложение за удостоверяване на автентичност, за да се предпазите от SIM-swapping – често срещана последваща атака, когато телефонните номера са изложени на риск при изтичане на информация от такъв мащаб.