„Instagram“ milijonų naudotų paprašė atkurti slaptažodžius, galėjo būti koordinuota ataka

Ar „Instagram“ susiduria su dar viena koordinuota kibernetine ataka? „Meta“ teigia, kad ne, nepaisant pranešimų, kad daugybė naudotojų gauna elektroninius laiškus, kuriuose raginama atkurti savo paskyrų slaptažodžius.

Situacija sulaukė dėmesio po to, kai „Malwarebytes“ įspėjo saugumo bendruomenę apie galimą duomenų pažeidimą. Pagal pranešimą, užpuolikai turėjo prieigą prie konfidencialios informacijos, susijusios su 17,5 milijono „Instagram“ paskyrų, su naudotojų vardais, fiziniais adresais, telefono numeriais, el. pašto adresais ir kitais asmeniniais duomenimis, kurie, kaip teigiama, cirkuliuoja pogrindiniuose forumuose.

„Malwarebytes“ iš pradžių teigė, kad duomenys buvo pavogti pasinaudojant anksčiau neatskleista API pažeidžiamybe. „Instagram“ vėliau patvirtino, kad API klaida egzistavo ir ją buvo galima išnaudoti masiniam slaptažodžių atkūrimo laiškų siuntimui, tačiau paneigė, kad buvo pažeisti kokie nors naudotojų duomenys.

„Meta“ teigė, kad klaida, kuri, jos teigimu, paveikė tik „kai kuriuos“ naudotojus, buvo ištaisyta. Kalbant apie pačius slaptažodžių atkūrimo laiškus, bendrovė patarė gavėjams juos ignoruoti, pabrėždama, kad slaptažodžiai nebuvo pavogti.

Tvirtinimas, kad buvo pavogti 17,5 milijono paskyrų duomenys, yra neaiškus dėl neatitikimų. Kibernetinio saugumo tyrėjai dabar mano, kad minėti duomenys greičiausiai buvo pavogti 2022 m. API duomenų gavimo incidento metu. „Meta“ savo ruožtu teigia, kad 2022–2024 m. neaptiko jokių saugumo incidentų, susijusių su „Instagram“.

Labiau tikėtinas paaiškinimas siekia dar senesnius laikus. Duomenys gali būti susiję su didelio masto API pažeidimu 2017 m., kurį galiausiai pripažino „Instagram“. Tokiu atveju internete platinamas „naujas“ duomenų rinkinys būtų tiesiog anksčiau nutekėjusios informacijos perpakavimas. Pažymėtina, kad duomenys, atrodo, neapima slaptažodžių.

Nors „Instagram“ paskyros kol kas yra saugios, naudotojams vis tiek patariama būti ypač atsargiems, kai gauna prašymą atkurti slaptažodį el. paštu. Jei prašymas atkurti slaptažodį nebuvo pateiktas, saugiausia yra jį ignoruoti. Vienas iš veiksmingiausių būdų apsisaugoti nuo šių nesudėtingų, bet nuolatinių atakų yra įjungti papildomas apsaugos priemones, pvz., dviejų veiksnių autentifikavimą arba slaptažodžių raktus.