安全公司Malwarebytes在暗網(wǎng)監(jiān)測行動中,發(fā)現(xiàn)一起規(guī)模龐大的Instagram用戶數(shù)據(jù)泄露事件,涉及約1750萬用戶。此次泄露并非源于傳統(tǒng)服務(wù)器入侵,而是攻擊者利用2024年末可能處于未受保護(hù)狀態(tài)的API端點,通過系統(tǒng)性抓取公開接口數(shù)據(jù)的方式獲取信息。
泄露的數(shù)據(jù)范圍涵蓋用戶全名、電子郵箱地址、電話號碼及地理位置信息,但未包含賬戶密碼。盡管核心登錄憑證未被竊取,攻擊者已迅速展開"二次利用"——大量Instagram用戶反饋收到異常密碼重置郵件,這些郵件實為攻擊者偽裝官方發(fā)送的釣魚內(nèi)容,旨在誘導(dǎo)用戶泄露登錄憑證或?qū)嵤┢渌p騙行為。
安全專家特別指出,電子郵箱與電話號碼的雙重泄露為"SIM卡交換攻擊"提供了便利條件。犯罪分子可通過偽造身份獲取用戶手機(jī)號控制權(quán),進(jìn)而攔截短信形式的雙重驗證(2FA)代碼,突破賬戶安全防護(hù)。這種攻擊方式近年來在金融詐騙領(lǐng)域?qū)乙姴货r,此次數(shù)據(jù)泄露使其威脅范圍擴(kuò)展至社交媒體領(lǐng)域。
截至目前,Instagram母公司meta尚未就此事件發(fā)布官方聲明,既未說明數(shù)據(jù)泄露的具體技術(shù)路徑,也未公布是否會主動通知受影響用戶。這種沉默態(tài)度引發(fā)用戶對賬戶安全的持續(xù)擔(dān)憂,部分網(wǎng)絡(luò)安全組織已呼吁用戶盡快檢查賬戶關(guān)聯(lián)信息,并啟用非短信形式的雙重驗證方式。
