Kto z nas w dzisiejszych czasach nie korzysta przynajmniej z jednej platformy typu SM? Natomiast czy nasze dane są na tych platformach przechowywane z należytą dbałością o bezpieczeństwo, o tym słów kilka dziś.
Duży incydent związany z wyciekiem danych z Instagrama wywołała nowe obawy o prywatność w sieci i rosnące zagrożenia dla użytkowników mediów społecznościowych na całym świecie. Dane osobowe powiązane z około 17,5 milionami kont na Instagramie krążą teraz na czarnym rynku w sieci, gdzie są łatwo dostępne dla cyberprzestępców.
Naruszenie bezpieczeństwa, po raz pierwszy zgłoszone przez firmę Malwarebytes zajmującą się bezpieczeństwem. Podkreśla ona rosnącą złożoność operacji gromadzenia danych oraz wyzwania, przed jakimi stoją duże platformy w zakresie ochrony informacji użytkowników na dużą skalę. Chociaż firma Meta Platforms Inc., właściciel serwisu Instagram, z początku nie potwierdzał publicznie tego incydentu, eksperci ds. bezpieczeństwa ostrzegają, że ujawnione dane są już aktywnie wykorzystywane.
Według analityków ds. cyberbezpieczeństwa ujawniony zbiór danych zawiera szeroki zakres poufnych danych osobowych. Według doniesień obejmują one:
- Nazwy użytkowników serwisu Instagram
- Powiązane adresy e-mail
- Numery telefonów
- Częściowe dane dotyczące lokalizacji fizycznej, takie jak miasto lub kraj
Chociaż zbiór danych nie zawierał haseł, eksperci ostrzegają, że połączenie ujawnionych identyfikatorów znacznie zwiększa prawdopodobieństwo przejęcia kont, oszustw związanych z tożsamością i ukierunkowanych ataków phishingowych.
Jest to dokładnie ten rodzaj danych, którego poszukują osoby stanowiące zagrożenie, ponieważ nawet bez haseł atakujący mogą przeprowadzać niezwykle przekonujące kampanie socjotechniczne, wykorzystując zweryfikowane dane kontaktowe.
Badacze zajmujący się bezpieczeństwem monitorujący „podziemne” fora informują, że baza danych jest otwarcie reklamowana i sprzedawana na wielu rynkach dark web. Sprzedawca, działający pod pseudonimem „Subkek”, twierdzi, że dane zostały zebrane w ostatnim kwartale 2024 r. przy użyciu technik scrapingu na dużą skalę.
Wykazy sprawdzone przez badaczy zawierają przykładowe rekordy z pełnymi adresami e-mail, numerami telefonów i częściowymi danymi lokalizacyjnymi, co sugeruje wysoki stopień autentyczności. Firma Malwarebytes potwierdziła, że osoby odpowiedzialne za zagrożenie już wykorzystują te informacje do inicjowania wniosków o resetowanie hasła na Instagramie, co jest powszechną taktyką mającą na celu nakłonienie użytkowników do podania danych logowania.
Kilku użytkowników Instagrama zgłosiło otrzymanie prawdziwych powiadomień o resecie hasła, mimo że nie składali takich wniosków, co wskazuje, że osoby odpowiedzialne za atak testują ważność wyciekłych kont.
Chociaż dokładna metoda uzyskania danych jest nadal przedmiotem dochodzenia, eksperci ds. cyberbezpieczeństwa uważają, że ujawnienie danych mogło wynikać z automatycznego scrapowania danych, potencjalnie z wykorzystaniem publicznych interfejsów programowania aplikacji (API) lub słabo zabezpieczonych punktów końcowych.
Scrapowanie danych, choć nie jest nową metodą, w ostatnich latach stało się coraz bardziej agresywne. Duże zbiory danych zebrane w ten sposób są często agregowane, wzbogacane o inne informacje uzyskane w wyniku naruszenia bezpieczeństwa i odsprzedawane w celu osiągnięcia zysku.
Publicznie dostępne dane mogą stać się niebezpieczne, gdy są gromadzone na dużą skalę, ponieważ gdy atakujący połączą nazwy użytkowników z numerami telefonów i adresami e-mail, otwiera to drzwi do masowego wykorzystania.
Narażenie znacznie zwiększa ryzyko oszustw typu phishing, w których atakujący podszywają się pod serwis Instagram lub Meta, aby nakłonić użytkowników do podania haseł, kodów weryfikacyjnych lub danych finansowych. Wiadomości te mogą być wysyłane pocztą elektroniczną, SMS-em lub w formie bezpośrednich wiadomości i często wyglądają na bardzo wiarygodne.
Cyberprzestępcy mogą również wykorzystywać te dane do ataków typu SIM-swapping, podszywania się pod inne osoby lub do wspierania szerszych operacji kradzieży tożsamości na innych platformach, na których użytkownicy ponownie wykorzystują swoje dane kontaktowe.
Co powinni zrobić użytkownicy, których dotyczy problem
Użytkownicy Instagrama powinni podjąć natychmiastowe środki ostrożności, w tym:
- Włączyć uwierzytelnianie dwuskładnikowe (2FA)
- Monitorować wiadomości e-mail i SMS pod kątem podejrzanej aktywności
- Sprawdzić ostatnie próby logowania i połączone aplikacje innych firm
- Unikać linków lub wiadomości od Instagrama lub Meta, które twierdzą, że są pilne
Użytkownicy powinni podchodzić sceptycznie do wszelkich niechcianych wiadomości z prośbą o weryfikację konta lub podanie danych logowania.
Aby ocenić ryzyko, firma Malwarebytes oferuje BEZPŁATNE skanowanie śladów cyfrowych za pośrednictwem swojego portalu, które pozwala użytkownikom sprawdzić, czy ich adresy e-mail pojawiają się w ujawnionym zbiorze danych – Data Breach Victim? Free Digital Footprint & Data Breach Scan
Opisany incydent podkreśla szerszy trend dotykający główne platformy mediów społecznościowych, gdzie ogromna baza użytkowników i połączone ekosystemy danych stanowią lukratywny cel dla cyberprzestępców. Nawet bez bezpośrednich włamań do systemu, scraping i agregacja danych na dużą skalę mogą mieć skutki niemal tak poważne, jak tradycyjne naruszenia bezpieczeństwa.
Dla użytkowników wydarzenie to stanowi kolejne przypomnienie, że prywatność w Internecie pozostaje krucha oraz że proaktywne środki bezpieczeństwa stają się coraz bardziej niezbędne w erze ciągłych zagrożeń cyfrowych.
Odpowiedź Instagrama
W niedzielę rano Instagram opublikował na X (dawniej Twitter) informację, że rozwiązał problem, który umożliwiał podmiotom zewnętrznym wysyłanie wiadomości e-mail z prośbą o zresetowanie hasła do niektórych użytkowników.
„Naprawiliśmy problem, który umożliwiał osobom trzecim wysyłanie wiadomości e-mail z prośbą o zresetowanie hasła do niektórych kont” – wyjaśniła firma. „Nie doszło do naruszenia bezpieczeństwa naszych systemów, a konta użytkowników serwisu Instagram są bezpieczne. Można zignorować te wiadomości e-mail – przepraszamy za zamieszanie”.
Jednak oświadczenie to nie uspokoiło wielu użytkowników, a kilku z nich zapytało, w jaki sposób osoba trzecia mogła w ogóle zainicjować żądania resetowania hasła.
„Nie doszło do naruszenia bezpieczeństwa, ale osoba z zewnątrz może zainicjować resetowanie hasła?” – napisał jeden z użytkowników. „Brzmi jak naruszenie bezpieczeństwa”.
Inny użytkownik skrytykował Instagram, pisząc: „Jeśli osoba z zewnątrz może zainicjować reset hasła na moim koncie, to jest to naruszenie bezpieczeństwa. Musiałem poświęcić czas na zbadanie sprawy, zmianę hasła, skonfigurowanie uwierzytelniania dwuskładnikowego i próbę wylogowania się ze wszystkich urządzeń – co nie jest łatwe. Co za strata czasu. Weźcie się w garść!”.
Zbieżność w czasie między problemem z e-mailami dotyczącymi resetowania hasła, a pojawieniem się bazy danych zawierającej 17,5 miliona wpisów na sprzedaż na forach dark web podsyciła spekulacje, że zebrane informacje kontaktowe mogły zostać wykorzystane do wyodrębnienia określonych użytkowników.
Chociaż Instagram twierdzi, że nie doszło do naruszenia bezpieczeństwa jego głównych systemów, sytuacja ta podkreśla, jak masowe zbieranie danych w połączeniu z niewielkimi słabościami procesów platformy może przerodzić się w poważne problemy związane z zaufaniem i bezpieczeństwem użytkowników mediów społecznościowych.
Serwis informacyjny poświęcony cyberbezpieczeństwu BleepingComputer podał, że wyciek danych z serwisu Instagram obejmuje łącznie 17 017 213 rekordów, a nie 17,5 miliona rekordów, jak podawały media.
Według nich wyciek zawiera następujące unikalne dane:
- ID: 17 015 503
- Adres e-mail: 6 233 162
- Numer telefonu: 3 494 383
- Lokalizacja: 1 335 727
BleepingComputer zauważa, że niektóre rekordy nie zawierają wszystkich informacji i mogą zawierać tylko identyfikator Instagram oraz nazwę użytkownika.
Czy powyższa sytuacja będzie przyczynkiem do rozpoczęcia dyskusji o stanie zabezpieczeń oferowanych użytkownikom przez platformy mediów społecznościowych? Jedynie czas może tu udzielić definitywnych odpowiedzi w tym temacie.
