一次大规模数据泄露暴露了约1750万Instagram用户的个人信息,敏感数据目前正在暗网市场上活跃流通。网络安全公司Malwarebytes于2026年1月9日在例行暗网监控中发现了这次泄露,研究人员在BreachForums上发现了一个以Solonik为化名的威胁行为者发布的帖子。
泄露的数据包括用户名、经验证的电子邮件地址、电话号码、实际地址和部分位置信息。这个威胁行为者也被称为Subkek,声称这些信息是在2024年底使用公开API和特定地区来源收集的。该列表标题为Instagram 1700万全球用户2024 API泄露,以JSON和TXT文件格式提供购买。
虽然密码似乎不在明文泄露的数据中,但安全专家警告说,联系方式和真实世界位置数据的组合为网络犯罪分子创造了他们所描述的金矿。暴露的信息足以进行复杂的网络钓鱼活动、身份盗窃和针对全球数百万用户的社会工程攻击。
在泄露信息上线后,多名Instagram用户报告收到了来自平台的未经请求但合法的密码重置通知。安全研究人员指出,这证明不良行为者已经在利用泄露的用户名和电子邮件尝试劫持账户。电子邮件和电话号码的组合还使危险的SIM卡交换攻击成为可能,这种攻击可以绕过双因素认证。
Instagram的母公司Meta于1月11日发布声明澄清情况。该公司表示已修复一个允许外部方为某些用户请求密码重置邮件的问题。Meta强调其系统没有发生安全漏洞,Instagram账户仍然安全,将此事件归因于数据抓取而非直接黑客攻击。
网络安全专家敦促所有Instagram用户立即采取保护措施。建议包括使用身份验证应用程序而非基于短信的验证来启用双因素认证,这对SIM卡交换攻击更具抵抗力。用户还应将密码更改为独特的复杂组合,并监控账户是否有任何未经授权的登录尝试。
担心自己信息是否被泄露的用户可以通过在Have I Been Pwned网站输入电子邮件地址或电话号码来检查。安全专业人员建议忽略任何未经请求的密码重置邮件,并审查与Instagram账户关联的所有第三方应用程序和服务。这一事件凸显了社交媒体平台持续存在的漏洞以及主动安全措施的重要性。
评论