Μια σοβαρή παραβίαση δεδομένων στο Instagram αποκαλύφθηκε την Τετάρτη 7 Ιανουαρίου, επηρεάζοντας συνολικά 17,5 εκατομμύρια λογαριασμούς και προκαλώντας έντονη ανησυχία σχετικά με την προστασία των προσωπικών στοιχείων εκατομμυρίων χρηστών.
Το περιστατικό συνοδεύτηκε από μαζική αποστολή ειδοποιήσεων για επαναφορά κωδικού πρόσβασης, οι οποίες αρχικά θεωρήθηκαν τυχαίες, ωστόσο στη συνέχεια διαπιστώθηκε ότι αποτελούσαν μέρος οργανωμένης εκμετάλλευσης των δεδομένων.
Η εταιρεία κυβερνοασφάλειας Malwarebytes επιβεβαίωσε ότι οι δράστες απέκτησαν πρόσβαση σε πλήρες πακέτο ευαίσθητων πληροφοριών, όπως ονόματα χρηστών, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου και φυσικές διευθύνσεις. Τα δεδομένα αυτά έχουν ήδη διαρρεύσει στο dark web, αναρτημένα από τον χρήστη «Solonik» με τον τίτλο «INSTAGRAM.COM 17M GLOBAL USERS – 2024 API LEAK».
Η συγκεκριμένη παραβίαση επιτρέπει την πραγματοποίηση πολλών ειδών κυβερνοεπιθέσεων, μεταξύ των οποίων κλοπή ταυτότητας, phishing, επιθέσεις κοινωνικής μηχανικής και SIM swapping, χωρίς να είναι απαραίτητη η γνώση του κωδικού πρόσβασης.
Τα emails επαναφοράς κωδικού που έλαβαν οι χρήστες δεν προήλθαν από σφάλμα του Instagram, αλλά χρησιμοποιήθηκαν από τους χάκερ ως μέσο εντοπισμού ενεργών λογαριασμών. Με αυτή την τακτική, οι επιτιθέμενοι μπορούν να οργανώσουν στοχευμένες επιθέσεις και να αξιοποιήσουν τα προσωπικά δεδομένα για εξαπάτηση.
Σύμφωνα με τους ειδικούς, τα δεδομένα που διέρρευσαν μπορούν να αξιοποιηθούν για:
- SIM swapping, με στόχο την πρόσβαση σε λογαριασμούς που προστατεύονται με έλεγχο δύο παραγόντων
- Phishing, μέσω παραπλανητικών μηνυμάτων που εμφανίζονται εξατομικευμένα και αξιόπιστα
- Κλοπή ταυτότητας, με χρήση ονομάτων, διευθύνσεων και αριθμών τηλεφώνου
Η Malwarebytes τονίζει ότι οι χρήστες ενδέχεται να στοχοποιηθούν ακόμη και χωρίς να έχουν αλλάξει κωδικό πρόσβασης.
Για την ενίσχυση της ασφάλειας, οι ειδικοί προτείνουν:
- Να αγνοούνται ανεπιθύμητα email επαναφοράς κωδικού
- Να γίνεται αλλαγή κωδικού χειροκίνητα μέσω της εφαρμογής ή της επίσημης ιστοσελίδας
- Να ενεργοποιείται ο έλεγχος ταυτότητας πολλαπλών παραγόντων μέσω εφαρμογής αυθεντικοποίησης και όχι μέσω SMS
- Να επικαιροποιούνται τα στοιχεία ανάκτησης email και τηλεφώνου
- Να χρησιμοποιείται το Digital Footprint Portal της Malwarebytes για έλεγχο πιθανής έκθεσης δεδομένων.
