安全公司Malwarebytes在暗网监测行动中,发现一起规模庞大的Instagram用户数据泄露事件,涉及约1750万用户。此次泄露并非源于传统服务器入侵,而是攻击者利用2024年末可能处于未受保护状态的API端点,通过系统性抓取公开接口数据的方式获取信息。
泄露的数据范围涵盖用户全名、电子邮箱地址、电话号码及地理位置信息,但未包含账户密码。尽管核心登录凭证未被窃取,攻击者已迅速展开"二次利用"——大量Instagram用户反馈收到异常密码重置邮件,这些邮件实为攻击者伪装官方发送的钓鱼内容,旨在诱导用户泄露登录凭证或实施其他诈骗行为。
安全专家特别指出,电子邮箱与电话号码的双重泄露为"SIM卡交换攻击"提供了便利条件。犯罪分子可通过伪造身份获取用户手机号控制权,进而拦截短信形式的双重验证(2FA)代码,突破账户安全防护。这种攻击方式近年来在金融诈骗领域屡见不鲜,此次数据泄露使其威胁范围扩展至社交媒体领域。
截至目前,Instagram母公司meta尚未就此事件发布官方声明,既未说明数据泄露的具体技术路径,也未公布是否会主动通知受影响用户。这种沉默态度引发用户对账户安全的持续担忧,部分网络安全组织已呼吁用户尽快检查账户关联信息,并启用非短信形式的双重验证方式。
