安全公司 Malwarebytes 于近日发出警告,其在监控暗网活动时发现一批涉及约1750万名 Instagram 用户的数据正在被非法传播。此次数据泄露并非源于传统意义上的服务器被入侵,而是攻击者利用了可能在2024年末未受到充分保护的API端点,通过系统性调用公开接口的方式批量抓取用户信息。

被泄露的数据主要包括用户的全名、电子邮箱地址、电话号码以及位置相关信息,所幸用户的登录密码并未包含其中。然而,尽管核心账户凭证未遭外泄,攻击者已开始将这些信息用于恶意目的。大量用户反馈频繁收到Instagram发送的密码重置通知邮件,这表明攻击者正在滥用平台自身的安全机制,制造账户异常现象,借此伪装成官方人员实施钓鱼攻击或**行为,甚至尝试进一步获取用户的账户登录权限。

安全专家强调,由于此次泄露同时涉及电子邮件和手机号码,极大提升了“SIM卡置换攻击”(SIM swapping)的成功风险。在这种攻击模式下,不法分子可通过社会工程等手段控制受害者的手机号码,进而拦截用于账户验证的短信验证码,绕过双重身份验证防护。

截至目前,运营Instagram的母公司尚未就此事件发布正式回应,也未说明数据具体是如何被获取的,亦未确认是否会向受影响用户发出直接通知。相关安全团队建议用户提高警惕,谨慎对待任何索要信息或引导操作的通知,并建议启用更安全的身份验证方式以降低风险。