Une fuite de données massive a exposé les informations personnelles d'environ 17,5 millions d'utilisateurs d'Instagram, avec des détails sensibles circulant désormais activement sur les places de marché du dark web. La société de cybersécurité Malwarebytes a découvert la fuite le 9 janvier 2026, lors d'une surveillance de routine du dark web, lorsque des chercheurs ont trouvé une publication sur BreachForums par un acteur malveillant opérant sous l'alias Solonik.
Les données compromises comprennent des noms d'utilisateur, des adresses électroniques vérifiées, des numéros de téléphone, des adresses physiques et des informations de localisation partielles. L'acteur malveillant, également connu sous le nom de Subkek, affirme que les informations ont été récoltées vers la fin de 2024 en utilisant des API publiques et des sources spécifiques à certaines régions. L'annonce était intitulée Instagram 17M Global Users 2024 API Leak, avec des données formatées en fichiers JSON et TXT disponibles à l'achat.
Bien que les mots de passe ne semblent pas faire partie de la fuite en texte clair, les experts en sécurité avertissent que la combinaison des coordonnées et des données de localisation réelles crée ce qu'ils décrivent comme une mine d'or pour les cybercriminels. Les informations exposées sont suffisantes pour des campagnes de phishing sophistiquées, le vol d'identité et des attaques d'ingénierie sociale ciblant des millions d'utilisateurs dans le monde.
Suite à l'apparition de la fuite en ligne, plusieurs utilisateurs d'Instagram ont signalé avoir reçu des notifications de réinitialisation de mot de passe non sollicitées mais légitimes de la plateforme. Les chercheurs en sécurité indiquent que c'est la preuve que des acteurs malveillants utilisent déjà les noms d'utilisateur et les emails divulgués pour tenter de pirater des comptes. La combinaison d'emails et de numéros de téléphone permet également des attaques dangereuses de SIM-swapping qui peuvent contourner l'authentification à deux facteurs.
Meta, la société mère d'Instagram, a publié une déclaration le 11 janvier clarifiant la situation. La société a déclaré avoir corrigé un problème qui permettait à une partie externe de demander des emails de réinitialisation de mot de passe pour certains utilisateurs. Meta a souligné qu'aucune violation de sécurité de leurs systèmes ne s'était produite et que les comptes Instagram restent sécurisés, attribuant l'incident au scraping de données plutôt qu'à un piratage direct.
Les experts en cybersécurité exhortent tous les utilisateurs d'Instagram à prendre des mesures de protection immédiates. Les recommandations incluent l'activation de l'authentification à deux facteurs en utilisant des applications d'authentification plutôt que la vérification par SMS, qui est plus résistante aux attaques de SIM-swapping. Les utilisateurs devraient également changer leurs mots de passe pour des combinaisons uniques et complexes et surveiller leurs comptes pour toute tentative de connexion non autorisée.
Les utilisateurs préoccupés par la compromission de leurs informations peuvent vérifier sur le site Have I Been Pwned en entrant leur adresse email ou numéro de téléphone. Les professionnels de la sécurité conseillent d'ignorer tout email de réinitialisation de mot de passe non sollicité et de vérifier toutes les applications tierces et services connectés aux comptes Instagram. L'incident met en lumière les vulnérabilités persistantes des plateformes de médias sociaux et l'importance des mesures de sécurité proactives.
Commentaires