Zijn er nu 17 miljoen Instagram-accounts gehackt of niet?
Heel wat gebruikers van Instagram kregen de jongste dagen een e-mail dat ze een wachtwoordwijziging zouden hebben aangevraagd (via Bleeping Computer). Hoewel Meta zelf meldt dat er geen lek is geweest, lijkt het er toch sterk op dat MalwareBytes niet loog op X. Daar meldde het beveiligingsbedrijf dat cybercriminelen gevoelige accountinfo hebben bemachtigd van 17 miljoen Instagram-gebruikers.
Bij die gegevens zitten de accountnamen, de mailadressen, telefoonnummers en de fysieke adressen van de gebruikers. Dat cybercriminelen gretig gebruikmaken van die info blijkt uit het feit dat op Reddit veel meldingen binnenkomen over ongevraagde wachtwoordwijzigingen. Dat duidt erop dat die malafide figuren proberen om de wachtwoorden te veranderen van de gecompromitteerde accounts.
“Geen lek bij Instagram”
Instagram stuurde intussen berichten rond met een uitleg: “We hebben een probleem rechtgezet dat toeliet dat een externe partij mails aanvroeg om wachtwoorden te resetten voor bepaalde Instagram-gebruikers. We willen iedereen ervan verzekeren dat er geen lek in onze systemen was en dat Instagram-accounts van iedereen veilig blijven. Mensen kunnen die e-mails dus negeren en we verontschuldigen ons voor de verwarring die hierdoor mogelijk ontstaan is.”
De kans bestaat dat er dan wel geen recent lek is geweest, maar dat er in het bestand met de informatie van die 17 miljoen accounts verschillende bronnen zijn samengevoegd. De leaker gaf zelf mee dat deze info komt uit een API-lek uit 2024. Onderzoekers schrijven het dan weer toe aan een API-lek via scraping uit 2022. Meta heeft beide lekken echter nooit bevestigd. In 2017 kwamen wel 6 miljoen accounts vrij via een bug die werd uitgebuit.
Uit een post zou blijken dat van de 17 miljoen accounts niet alle info aanwezig is. Het zou ‘beperkt’ zijn tot 16.553.662 gebruikersnamen, 6.233.162 mailadressen, 3.494.383 telefoonnummers, 12.418.006 namen en 1.335.727 adressen. Dat betekent dat er soms dus gewoon een account- en gebruikersnaam te vinden zijn.
Het belangrijkste is echter dat gebruikers hun wachtwoorden in principe niet moeten veranderen. Wel voeg je best tweestapsverificatie toe aan je account. Zo geef je criminelen geen kans. Heb je zelf verdachte gedragingen ondervonden, dan blijf je best waakzaam. Het kan namelijk altijd gebeuren dat ze jouw info gebruiken om gerichte phishingmails naar jou te sturen.
