Souhrn
Cyberbezpečnostní firma Malwarebytes hlásí, že osobní data přes 17,5 milionu uživatelů Instagramu jsou na prodej na dark webu. Datový soubor údajně pochází z expozice Instagram API z roku 2024 a obsahuje uživatelská jména, adresy, telefonní čísla a e-maily. Mateřská společnost Meta incident popírá a označuje ho za vyřešený problém s e-maily na reset hesel.
Klíčové body
- Malwarebytes objevila data během rutinního skenování dark webu 9. ledna 2026.
- Expozice souvisí s Instagram API z roku 2024, která umožnila zneužití cyberkriminálníky.
- Meta tvrdí, že nedošlo k průniku do systémů a účty zůstávají bezpečné.
- Uživatelé hlásili masivní e-maily s žádostmi o reset hesel, což Malwarebytes spojuje s uniklými daty.
- Data jsou nabízena k prodeji a mohou být zneužita k phishingu nebo identitním krádežím.
Podrobnosti
Článek popisuje potenciálně vážný bezpečnostní incident týkající se Instagramu, sociální sítě vlastněné společností Meta. Firma Malwarebytes, specializující se na antivirový software a monitorování hrozeb, narazila na nabídku prodeje datového souboru s informacemi o 17,5 milionu účtů. Tento soubor byl objeven 9. ledna 2026 během standardního prohledávání dark webu, což je uzavřená část internetu přístupná především přes anonymizační nástroje jako Tor a sloužící k nelegálnímu obchodu.
Podle Malwarebytes data unikla díky expozici Instagram API z roku 2024. API (Application Programming Interface) je rozhraní, které umožňuje aplikacím komunikovat s Instagramem, například pro načítání profilů nebo automatizaci příspěvků. Pokud není správně zabezpečeno, může dojít k úniku citlivých údajů. Obsažené informace zahrnují nejen uživatelská jména a e-maily, ale i fyzické adresy a telefonní čísla, což jsou údaje vysoce atraktivní pro cyberkriminálníky. Tyto detaily lze použít k sofistikovaným útokům, jako je phishing, kde útočníci posílají personalizované e-maily napodobující Instagram, nebo k fyzickým krádežím identity.
Incident souvisí s stížnostmi uživatelů na masivní e-maily s žádostmi o reset hesel. Malwarebytes tvrdí, že útočníci využili uniklých dat k automatizovaným žádostem o změnu hesel, což způsobovalo zmatek. Meta v reakci vydala prohlášení, ve kterém spokesperson uvedl: „Opravili jsme problém, který umožnil externí straně žádat e-maily na reset hesel pro některé uživatele Instagramu. Nebylo porušeno našich systémů a účty zůstávají bezpečné.“ Firma doporučuje ignorovat tyto e-maily a omlouvá se za zmatky.
Tento případ nastal v době rostoucího tlaku na sociální sítě kvůli ochraně dat. Instagram má přes 2 miliardy uživatelů a jeho API je široce využíváno developery pro integrace do aplikací. Expozice z roku 2024 naznačuje dlouhodobý problém, který mohl být přehlížen. Uživatelé by měli okamžitě změnit hesla, aktivovat dvoufázové ověření (2FA) a kontrolovat podezřelé aktivity. Pro firmy jako Meta to znamená nutnost posílit audit API a transparentnější komunikaci o incidentech.
Proč je to důležité
Tento incident patří mezi velké bezpečnostní krize v kyberprostoru, kde uniknutí milionů záznamů ohrožuje soukromí a bezpečí uživatelů. I přes popření Metu zvyšuje důvěru v platformy riziko, protože data na dark webu zůstávají dostupná. V širším kontextu to podtrhuje zranitelnost velkých sociálních sítí vůči API útokům a zdůrazňuje potřebu lepšího monitoringu dark webu firmami jako Malwarebytes. Pro uživatele to znamená zvýšené riziko phishingu a identity theft po dobu let, což ovlivňuje celý tech průmysl v éře GDPR a podobných regulací. Pokud se potvrdí, může vést k pokutám a změnám v politice ochrany dat.
Zdroj: 📰 The Indian Express
