1 月 11 日消息，安全公司 Malwarebytes 昨日警告稱，該公司在暗網(wǎng)監(jiān)控時發(fā)現(xiàn)了一起涉及 1750 萬用戶的 Instagram 數(shù)據(jù)泄露事件。

據(jù)介紹，此次泄露并非傳統(tǒng)的服務(wù)器入侵，而是攻擊者通過一個在 2024 年末可能未受保護(hù)的 API 端點，系統(tǒng)性地抓取了公開接口中的數(shù)據(jù)。注意到，泄露的信息包括用戶的全名、電子郵件地址、電話號碼以及位置數(shù)據(jù)，但不包含密碼。

盡管密碼未被泄露，但攻擊者已經(jīng)開始“武裝化”利用這些數(shù)據(jù)。Ins 用戶普遍反映收到了大量的密碼重置通知郵件 —— 攻擊者正利用 Instagram 自身的安全功能制造混亂，以創(chuàng)造機(jī)會冒充官方人員實施詐騙、釣魚活動，或者嘗試竊取登錄憑證。

安全人員指出，電子郵件地址與電話號碼同時泄露，為“SIM 卡交換攻擊”（SIM swapping）創(chuàng)造了絕佳條件，即犯罪分子通過控制用戶手機(jī)號，攔截雙重驗證（2FA）驗證碼。