Egy nagyméretű adatkinyerési eset ismét ráirányította a figyelmet a közösségi média platformokat érintő adatvédelmi kockázatokra. Mintegy 17,5 millió Instagram-fiókhoz kapcsolódó személyes adat jelent meg a darknet piacterein, így azok könnyen hozzáférhetővé váltak kiberbűnözők számára világszerte.
Az ügyre elsőként a Malwarebytes hívta fel a figyelmet. A biztonsági cég szerint az adatok már aktív visszaélések alapját képezik. Az Instagram és anyavállalata, a Meta Platforms Inc. ugyanakkor hangsúlyozta: nem történt klasszikus értelemben vett rendszerbetörés.
Az érintett adatok köre
Kiberbiztonsági elemzők szerint a kiszivárgott adatbázis az alábbi információkat tartalmazza:
- Instagram-felhasználónevek
- Kapcsolódó e-mail címek
- Telefonszámok
- Részleges földrajzi adatok (város, ország)
Bár jelszavak nem szerepelnek az adatok között, szakértők figyelmeztetnek: az ilyen típusú, egymással összekapcsolható azonosítók jelentősen növelik a fiókátvétel, az identitás-visszaélés és a célzott adathalászat kockázatát. Ezek pontosan azok az adatok, amelyekkel hitelesnek tűnő social engineering támadások indíthatók.
Darknet-értékesítés és aktív visszaélések
Földalatti fórumokat figyelő kutatók szerint az adatbázist több darknet piactéren is árusítják. Az eladó a „Subkek” álnevet használja, és azt állítja, hogy az adatok 2024 utolsó negyedévében, nagyléptékű scraping műveletek során keletkeztek.
A közzétett mintarekordok teljes e-mail címeket és telefonszámokat tartalmaznak, ami a hitelességet erősíti. A Malwarebytes megerősítette, hogy támadók Instagram jelszó-visszaállítási kérelmeket indítanak az érintett fiókok ellen, abban bízva, hogy a felhasználókat ráveszik a belépési adatok megadására.
Több Instagram-felhasználó jelezte, hogy valósnak tűnő jelszó-visszaállítási értesítéseket kapott anélkül, hogy ilyet kezdeményezett volna – ez jellemzően a fiókok érvényességének tesztelésére utal.
Scraping, API-k és platformkockázatok
Bár az adatok pontos forrása még vizsgálat alatt áll, szakértők szerint a kiszivárgás automatizált adatgyűjtésből (scrapingből) eredhetett, amely nyilvánosan elérhető API-kat vagy nem kellően védett végpontokat használt ki.
A scraping önmagában nem új jelenség, de a tömeges adatösszegyűjtés és -összekapcsolás mára komoly kockázattá vált. Amikor felhasználónevek, e-mail címek és telefonszámok egy adatbázisban jelennek meg, az tömeges visszaélések előtt nyitja meg az utat.
Milyen kockázatokkal szembesülnek a felhasználók?
Az eset jelentősen növeli az alábbi fenyegetések esélyét:
- Instagram vagy Meta nevében érkező adathalász üzenetek (e-mail, SMS, DM)
- SIM-csere (SIM-swapping) támadások
- Fiókmegszemélyesítés és identitás-lopás más platformokon is, ahol azonos elérhetőségeket használnak
Mit tehetnek az érintettek?
A szakértők az alábbi azonnali lépéseket javasolják:
- Kétlépcsős azonosítás (2FA) bekapcsolása
- E-mail és SMS értesítések fokozott figyelése
- Bejelentkezési előzmények és csatlakoztatott alkalmazások átvizsgálása
- Minden, sürgető hangvételű Instagram- vagy Meta-üzenet kezelése fokozott gyanakvással
A Malwarebytes ingyenes Digital Footprint ellenőrzést is biztosít, amellyel megvizsgálható, hogy egy e-mail cím szerepel-e az érintett adatbázisban.
Meta hallgatása és a vizsgálat állása
A cikk megjelenésekor az Instagram és a Meta nem adott ki részletes, átfogó tájékoztatást az adatok eredetéről vagy az esetleges helyreállítási lépésekről. Ez adatvédelmi szakértők körében kritikát váltott ki, különösen az EU GDPR szabályozása alá tartozó régiókban, ahol az átláthatóság és az időben történő értesítés kiemelten fontos.
🚨 Frissítés – az Instagram reagált
Az Instagram az X-en (korábban Twitter) közölte, hogy kijavított egy hibát, amely lehetővé tette külső fél számára jelszó-visszaállítási e-mailek indítását egyes felhasználóknál:
„Nem történt rendszerbetörés, a fiókok biztonságban vannak. Az érintett e-mailek figyelmen kívül hagyhatók.”
A magyarázat azonban sok felhasználót nem nyugtatott meg. Többen rámutattak: ha egy külső fél képes ilyen folyamatokat kiváltani, az komoly bizalmi és biztonsági kérdéseket vet fel.
Vita az adatszámokról
A BleepingComputer szerint az adatbázis nem 17,5 millió, hanem 17 017 213 rekordot tartalmaz. Az egyedi adatok megoszlása:
- ID: 17 015 503
- E-mail cím: 6 233 162
- Telefonszám: 3 494 383
- Helyadat: 1 335 727
Egyes rekordok csupán Instagram-azonosítót és felhasználónevet tartalmaznak.
Összegzés
Az eset jól mutatja, hogy tömeges scraping és kisebb folyamatgyengeségek együttese is súlyos biztonsági és bizalmi problémákat okozhat – még akkor is, ha nincs klasszikus értelemben vett rendszerbetörés. A felhasználók számára ez újabb figyelmeztetés: az online jelenlét fokozott védelme ma már elengedhetetlen, a platformok részéről pedig nagyobb átláthatóságra van szükség.
