1月11日综合消息,网络安全公司Malwarebytes于当地时间1月10日发布警告称,其在暗网监控中发现了一起涉及约1750万用户的Instagram大规模数据泄露事件。
据分析,此次泄露事件并非由传统的服务器入侵导致,而是攻击者通过一个可能在2024年末未受充分保护的API端点,系统性地抓取了公开接口中的数据。泄露的信息主要包括用户的全名、电子邮件地址、电话号码以及位置数据等个人敏感信息。安全公司强调,目前没有证据表明用户密码在此次事件中泄露。
尽管密码未被获取,但攻击者已开始对窃取的数据进行“武装化”利用。大量Instagram用户报告称,近期收到了异常频繁的密码重置通知邮件。安全专家指出,攻击者正有意滥用Instagram平台自身的安全功能制造混乱,旨在冒充官方人员实施网络钓鱼、诈骗,或创造机会尝试窃取用户的登录凭证。
安全研究人员进一步警告,由于电子邮件和电话号码同时泄露,这为实施“SIM卡交换攻击”创造了极其有利的条件。在此类攻击中,犯罪分子通过欺骗电信运营商将目标手机号转移至自己控制的SIM卡上,从而拦截包含双重验证(2FA)代码在内的所有短信,最终接管受害者的各类网络账户。
截至发稿前,Instagram的母公司Meta尚未就此事件发布任何官方声明,也未对外说明数据泄露的具体原因、途径,以及是否会直接通知受影响的用户。
