1 月 11 日消息，安全公司 Malwarebytes 昨日警告稱，該公司在暗網監控時發現了一起涉及 1750 萬用戶的 Instagram 數據泄露事件。

據介紹，此次泄露并非傳統的服務器入侵，而是攻擊者通過一個在 2024 年末可能未受保護的 API 端點，系統性地抓取了公開接口中的數據。注意到，泄露的信息包括用戶的全名、電子郵件地址、電話號碼以及位置數據，但不包含密碼。

盡管密碼未被泄露，但攻擊者已經開始“武裝化”利用這些數據。Ins 用戶普遍反映收到了大量的密碼重置通知郵件 —— 攻擊者正利用 Instagram 自身的安全功能制造混亂，以創造機會冒充官方人員實施詐騙、釣魚活動，或者嘗試竊取登錄憑證。

安全人員指出，電子郵件地址與電話號碼同時泄露，為“SIM 卡交換攻擊”（SIM swapping）創造了絕佳條件，即犯罪分子通過控制用戶手機號，攔截雙重驗證（2FA）驗證碼。

截至目前，Instagram 的母公司 meta 尚未對此事件發表任何公開聲明，也未說明數據如何泄露或是否會直接通知受影響的用戶。（問舟）