Разработчики Instagram* исправили уязвимость, которая позволяла массово рассылать письма для сброса пароля. При этом в компании отрицают компрометацию своих систем, хотя недавно в сети выложили дамп с данными 17,5 млн учетных записей.

Как сообщило издание Bleeping Computer, в Meta** заявили, что недавно устранили проблему, позволявшую третьим лицам запрашивать письма для сброса пароля от Instagram. Компания подчеркивает: системы Instagram не были взломаны, аккаунты пользователей в безопасности, и такие письма можно просто игнорировать.

При этом массовую рассылку таких писем уже успели связать с предполагаемой утечкой данных, о которой на днях сообщили специалисты ИБ-компании Malwarebytes. Эксперты предупредили о краже данных из 17,5 млн аккаунтов Instagram, и сообщили, что информация бесплатно опубликована на ряде хак-форумов.

Опубликовавший этот дамп злоумышленник писал, что информация собрана еще в 2024 году, в результате утечки данных через API Instagram.

Этот датасет содержит информацию 17 017 213 профилей Instagram, включая номера телефонов, имена пользователей, реальные имена, физические адреса, email-адреса, а также Instagram ID. Суммарно в дампе обнаружены:

17 015 503 ID;

16 553 662 имен пользователей;

6 233 162 email-адресов;

3 494 383 номеров телефонов;

12 418 006 имен;

1 335 727 адресов.

Стоит отметить, что не вся информация доступна для каждой учетной записи — для некоторых доступны лишь ID Instagram и имя пользователя.

ИБ-эксперты полагают, что «свежая» утечка произошла еще в 2022 году, и она связана с массовым скрапингом, а не взломом. Однако фактических доказательств этой теории нет.

Представители Meta в свою очередь сообщили журналистам, что им не известно ни о каких утечках данных, произошедших через API в 2022 или 2024 году.

Следует отметить, что в прошлом Instagram уже страдал от подобных проблем. К примеру, в 2017 году баг API уже использовали для сбора и последующей продажи личных данных около 6 млн аккаунтов. В этой связи новый дамп может оказаться компиляцией данных 2017 года, а также новой информации, собранной за последние несколько лет.

* Принадлежит Meta, которая признана экстремистской организацией и запрещена в России.

** Деятельность компании Meta признана экстремистской и запрещена в России.