前情回顾·数据泄露狂潮
安全内参1月12日消息,安全厂商Malwarebytes Labs的研究人员警告称,一起重大的数据泄露事件导致约1750万名Instagram用户的个人数据被暴露。泄露的数据包括用户名、实体住址、电话号码以及电子邮件地址。
图:Malwarebytes Labs研究人员发布警告
自1月10日以来,已有100万名用户收到了密码重置邮件,由此引发了混乱,并激起了人们对全球性网络攻击的担忧。安全专家指出,这是一起具有现实风险的严重隐私泄露事件,相关数据可能已经在暗网上流通。
Instagram官方推特账号在11日回应称,刚刚修复了一个允许外部人员为部分用户请求密码重置邮件的问题,系统未遭到入侵。
地下论坛售卖Instagram人肉数据库
研究人员发现,一个包含敏感信息的数据库正在某网络犯罪论坛上出售,售卖者声称这是一个影响近1800万名Instagram用户的“人肉搜索工具包”。与以往的数据抓取事件不同,此次泄露的数据包含了与Instagram用户ID直接关联的实体家庭住址。
被盗数据很可能并非仅来源于Instagram个人资料。攻击者可能将Instagram用户ID与来自外部数据库的数据进行整合,例如营销名单、数据经纪商、电商平台或已泄露的客户记录,从而实现将用户名与真实姓名及家庭住址相匹配。
由于线上身份被直接关联到实体地址,其威胁已不再局限于垃圾信息或账号接管。这种情况使跟踪骚扰、恶意报警、勒索以及身份盗用成为可能,将一次数字隐私泄露升级为潜在的现实世界安全风险。
图:据称在2024年已遭到泄露,攻击者声称利用官方API窃取
The Cybersec Guru网站报道称:“这些数据并非只是被搁置。报告显示,这个包含1750万条记录的数据库中,部分数据正在非法市场上被拍卖。”并补充道:“据称,这些数据以按地区和粉丝数量划分的‘批次’形式出售,使网红以及高知名度的商业账号成为主要攻击目标。”
图:2026年1月在地下论坛传播
研究人员建议Instagram用户立即采取行动,并假设自身信息可能已经暴露。应避免点击密码重置邮件,仅通过应用内功能重置密码,并使用Instagram官方电子邮件日志核验邮件来源,以识别钓鱼攻击。同时,启用基于应用的双因素认证,并尽量避免使用基于短信的双因素认证(2FA)。最后,检查并移除未知或未使用的第三方应用权限,因为这些权限可能与本次泄露事件存在关联。
参考资料:https://securityaffairs.com/186765/data-breach/a-massive-breach-exposed-data-of-17-5m-instagram-users.html
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
