Instagram je odbacio tvrdnje da je bio žrtva curenja podataka nakon što su brojni korisnici diljem svijeta zaprimili e-mailove s pozivom na resetiranje lozinke
Iz tvrtke navode da su uklonili tehnički problem koji je 'vanjskoj strani' omogućio da potakne slanje legitimnih zahtjeva za promjenu lozinke određenim korisnicima. Ističu da pritom nije došlo do proboja njihovih sustava te da su korisnički računi sigurni.
vezane vijesti
Međutim dio stručnjaka za kibernetičku sigurnost osporava takvo objašnjenje. Tvrtka Malwarebytes tako tvrdi da je slanje e-mailova zapravo posljedica hakiranja i krađe podataka.
Malwarebytes je na platformi Bluesky objavio da su 'kibernetički kriminalci ukrali osjetljive podatke 17,5 milijuna računa na Instagramu', uključujući korisnička imena, fizičke adrese, telefonske brojeve i e-mail adrese. Objavu su popratili screenshotom zaslona Instagramova e-maila za resetiranje lozinke. Iako tvrtka nije iznijela dodatne tehničke detalje, objava je pregledana više od 2,3 milijuna puta.
Iz Malwarebytesa su za BBC izjavili da vjeruju kako su e-mailovi izravno povezani s prodajom privatnih podataka na hakerskom forumu, na kojem pojedinac tvrdi da posjeduje osobne podatke 17,5 milijuna korisnika Instagrama. U oglasu se navodi da podaci potječu iz 'curenja' 2024. godine.
No dio neovisnih sigurnosnih istraživača smatra da je riječ o starijoj bazi podataka, prikupljenoj još 2022. godine iz javno dostupnih informacija, poput imena i lokacija korisnika, a ne o novom sigurnosnom incidentu.
Instagram: 'Nije bilo proboja'
Kombinacija masovnih e-mailova i upozorenja Malwarebytesa izazvala je konfuziju među tisućama korisnika te su se na društvenim mrežama pitali radi li se o prijevari ili pokušaju krađe podataka.
Instagram ostaje pri svom stajalištu. 'Ispravili smo problem koji je omogućio vanjskoj strani da zatraži slanje e-mailova za resetiranje lozinke nekim korisnicima. Nije došlo do curenja podataka iz naših sustava', poručili su iz kompanije. Tvrtka pritom nije odgovorila na upite BBC-ja o tome tko je bila 'vanjska strana' koja je mogla inicirati slanje službenih e-mailova u ime Instagrama.
Iako su e-mailovi kod dijela korisnika izazvali strah od phishinga, sigurnosni stručnjaci navode da poveznice u porukama ne izgledaju zlonamjerno, a sam postupak promjene lozinke vodi kroz legitiman sustav Instagrama.
Unatoč tome, preporuka ostaje ista: korisnici bi trebali izravno posjetiti službenu web stranicu ili aplikaciju Instagrama da bi promijenili lozinku, umjesto da klikaju na poveznice u e-mailovima, te uključiti dodatne sigurnosne mjere poput dvofaktorske autentifikacije.
