安全公司Malwarebytes警告稱，在暗網(wǎng)監(jiān)控中發(fā)現(xiàn)一起Instagram的數(shù)據(jù)泄露事件。此次事件涉及到近1750萬用戶。

據(jù)介紹，此次數(shù)據(jù)泄露并非由傳統(tǒng)服務(wù)器入侵導(dǎo)致，而是攻擊者利用2024年末可能未受保護(hù)的API端點(diǎn)，系統(tǒng)性抓取了公開接口中的信息。

泄露的數(shù)據(jù)包括用戶的全名、電子郵件地址、電話號碼以及位置信息，但不包含密碼。

雖然密碼未被暴露，已有大量Instagram用戶報(bào)告收到頻繁的密碼重置通知郵件。

這也表明攻擊者正在濫用平臺安全機(jī)制制造混亂，以實(shí)施釣魚或詐騙活動，并嘗試獲取用戶登錄憑證。

安全人員強(qiáng)調(diào)，電子郵件與電話號碼的同時(shí)泄露為“SIM卡交換攻擊”提供了便利條件，攻擊者可借此控制用戶手機(jī)號并攔截雙重驗(yàn)證（2FA）驗(yàn)證碼。

截至目前，Instagram母公司Meta尚未就此事件發(fā)布任何官方聲明，也未說明數(shù)據(jù)泄露的具體原因或是否將通知受影響用戶。