Μαζική παραβίαση δεδομένων στο Instagram έφερε στο φως ευαίσθητες πληροφορίες 17,5 εκατομμυρίων χρηστών, οι οποίες κυκλοφορούν ήδη στο dark web. Η διαρροή περιλαμβάνει ονόματα χρηστών, email, αριθμούς τηλεφώνου και φυσικές διευθύνσεις, δίνοντας στους κυβερνοεγκληματίες τη δυνατότητα να εξαπολύσουν επιθέσεις phishing και SIM swapping.
Το περιστατικό έγινε αντιληπτό όταν πολλοί χρήστες έλαβαν μαζικές ειδοποιήσεις επαναφοράς κωδικού, που δεν προέρχονταν από το Instagram αλλά από χάκερ που «δοκίμαζαν» τους λογαριασμούς τους. Οι ειδικοί συνιστούν να αγνοούνται αυτά τα emails, να ενεργοποιηθεί ο έλεγχος ταυτότητας πολλαπλών παραγόντων μέσω εφαρμογής αυθεντικοποίησης και να ελεγχθεί η έκθεση μέσω εργαλείων όπως το Digital Footprint Portal της Malwarebytes.
Η Meta δεν έχει προς το παρόν σχολιάσει την παραβίαση, ενώ οι χρήστες καλούνται να είναι ιδιαίτερα προσεκτικοί με οποιαδήποτε επικοινωνία που φαίνεται προσωπική αλλά μπορεί να είναι εργαλείο εκμετάλλευσης.
Γιατί υπάρχει κίνδυνος
Αυτό που καθιστά το περιστατικό ιδιαίτερα επικίνδυνο είναι ότι δεν απαιτείται η κατοχή κωδικών πρόσβασης για να προκληθεί χάος. Με πρόσβαση σε ονόματα χρηστών, email, αριθμούς τηλεφώνου και φυσικές διευθύνσεις, έμπειροι κυβερνοεγκληματίες μπορούν να εξαπολύσουν πολλαπλές καταστροφικές επιθέσεις.
Μπορούν να χρησιμοποιήσουν τους εκτεθειμένους αριθμούς τηλεφώνου για επιθέσεις «SIM swapping» – πείθοντας παρόχους τηλεπικοινωνιών να μεταφέρουν τον αριθμό του θύματος σε συσκευή που ελέγχουν οι ίδιοι, παρακάμπτοντας έτσι την προστασία του ελέγχου ταυτότητας δύο παραγόντων.
Μπορούν να προσποιηθούν το προσωπικό υποστήριξης του Instagram, αξιοποιώντας τα εκτεθειμένα προσωπικά στοιχεία για να αποκτήσουν ψευδή αξιοπιστία και να εξαπατήσουν τους χρήστες ώστε να αποκαλύψουν ευαίσθητα δεδομένα. Μπορούν να εξαπολύσουν στοχευμένες επιθέσεις phishing, χρησιμοποιώντας πληροφορίες όπως διευθύνσεις και τηλέφωνα, ώστε η απάτη να φαίνεται προσωπική και αξιόπιστη.
Το μέγεθος της παραβίασης καθιστά την κατάσταση ακόμη πιο ανησυχητική. Μια επείγουσα ειδοποίηση της Malwarebytes, την οποία πολλοί χρήστες δήλωσαν ότι έλαβαν, ανέφερε χαρακτηριστικά: «Αυτή την εβδομάδα, η Malwarebytes ανακάλυψε ότι χάκερ έκλεψαν ευαίσθητα δεδομένα 17,5 εκατομμυρίων λογαριασμών Instagram. Περιλαμβάνοντας ονόματα χρηστών, φυσικές διευθύνσεις, αριθμούς τηλεφώνου, email και άλλα, τα δεδομένα αυτά μπορούν να χρησιμοποιηθούν από κυβερνοεγκληματίες για να υποδυθούν αξιόπιστες εταιρείες, να εξαπατήσουν χρήστες και να υποκλέψουν κωδικούς πρόσβασης».
Η Meta, η μητρική εταιρεία του Instagram, έχει μέχρι στιγμής παραμείνει σιωπηλή για το περιστατικό. Παρά τα επανειλημμένα αιτήματα για σχολιασμό από ειδησεογραφικά πρακτορεία όπως το CyberInsider και το Mathrubhumi, δεν έχει υπάρξει επίσημη επιβεβαίωση ή δημόσια δήλωση από την Meta σχετικά με την παραβίαση
Πώς να προστατευτείτε σε τέτοιες περιπτώσεις
Η πιο άμεση ενέργεια είναι να αγνοείτε οποιοδήποτε μη ζητηθέν email επαναφοράς κωδικού και να συνδέεστε χειροκίνητα στο Instagram μέσω της εφαρμογής ή της ιστοσελίδας, αλλάζοντας τον κωδικό σας ανεξάρτητα.
Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων
χρησιμοποιώντας εφαρμογή αυθεντικοποίησης αντί για SMS, καθώς το τελευταίο μπορεί να παραβιαστεί μέσω SIM swapping. Ενημερώστε τα στοιχεία ανάκτησης, διασφαλίζοντας ότι το email και ο αριθμός τηλεφώνου σας είναι σωστά και ασφαλή.
Αν ανησυχείτε μήπως τα δεδομένα σας περιλαμβάνονται στην παραβίαση, η Malwarebytes έχει δημιουργήσει ένα δωρεάν Digital Footprint Portal, όπου μπορείτε να εισαγάγετε τη διεύθυνση email σας για να ελέγξετε το επίπεδο έκθεσής σας.
Για τα εκατομμύρια χρηστών του Instagram που έλαβαν αυτά τα emails επαναφοράς κωδικού, η εμπειρία αυτή αποκαλύπτει μια άβολη αλήθεια: οι παραβιάσεις δεδομένων δεν αποτελούν πλέον σπάνια περιστατικά, αλλά ένα σταθερό στοιχείο της ψηφιακής μας ζωής.
Αυτό που ξεχωρίζει τη συγκεκριμένη παραβίαση είναι τόσο το μέγεθός της όσο και η ενεργή εκμετάλλευσή της. Δεν πρόκειται για ένα παλιό αρχείο δεδομένων που διέρρευσε, αλλά για ένα περιστατικό ασφάλειας που εξελίσσεται σε πραγματικό χρόνο, με εγκληματίες να έχουν ήδη μετατρέψει τις πληροφορίες σε όπλα εναντίον των ίδιων των χρηστών που εμπιστεύτηκαν το Instagram με τα προσωπικά τους στοιχεία.
