Instagram rassicura: account al sicuro, ma cosa c’è dietro l’ondata di misteriose richieste di reset?

Indice dei Contenuti:

Richieste di reset sospette e smentita di violazione

Un’ondata di email di reset password ha colpito numerosi utenti di Instagram, alimentando sospetti di una violazione su larga scala. L’allarme è partito da Malwarebytes, che ha parlato di dati sensibili di 17,5 milioni di profili esposti, inclusi username, indirizzi fisici, numeri di telefono ed email.

Instagram ha smentito con fermezza: nessuna intrusione nei propri sistemi, account dichiarati “sicuri” e un bug corretto che consentiva a terze parti di generare richieste di reset per “alcune persone”. Il messaggio ufficiale pubblicato su X invita gli utenti a ignorare quelle comunicazioni e si scusa per la confusione generata.

Il chiarimento arriva mentre molti segnalano numerosi avvisi di reset in sequenza, circostanza che ha amplificato il timore di compromissioni e possibili takeover. Instagram ribadisce che l’anomalia riguardava l’invio delle email, non un accesso ai dati interni, e che la vulnerabilità è stata risolta.

Possibile esposizione api del 2024 e dati sul dark web

Malwarebytes collega l’attività anomala a una possibile esposizione dell’API di Instagram risalente al 2024, individuata durante una scansione periodica del dark web. Secondo l’azienda, i pacchetti di informazioni sarebbero in vendita nei marketplace clandestini e potrebbero includere username, contatti e altri identificativi.

Nel suo report, Malwarebytes avverte che tali dataset alimentano campagne di phishing mirate e tentativi di takeover, sfruttando incroci di email e numeri di telefono. L’ipotesi tecnica è che un precedente punto di esposizione, sebbene non attivo oggi, possa aver generato liste finora inesfiltrate o non indicizzate.

Instagram respinge la tesi di una violazione attuale e parla esclusivamente di un bug sulle email di reset. Restano però monitoraggi in corso sui canali sotterranei, dove attori malevoli aggregano dati da più fonti per aumentarne il valore e la spendibilità criminale.

Consigli di sicurezza per proteggere l’account

Attiva la autenticazione a due fattori nell’Accounts Center di Meta scegliendo app di autenticazione o chiavi fisiche: riduce drasticamente i rischi di takeover anche in caso di email sospette. Aggiorna subito la password rendendola unica e complessa, evitando riutilizzi su altri servizi e archiviandola in un password manager affidabile.

Verifica i dispositivi attivi e le sessioni aperte dal pannello di sicurezza: disconnetti quelle che non riconosci e abilita gli avvisi di accesso. Diffida da email di reset non richieste: non cliccare link, accedi invece direttamente all’app o al sito ufficiale per controllare lo stato dell’account.

Proteggi i dati di contatto limitando la visibilità pubblica di email e numero di telefono e abilita filtri antiphishing sul client di posta. Segnala tentativi sospetti tramite gli strumenti di Instagram e conserva gli header dei messaggi per eventuali verifiche. Considera l’uso di chiavi di sicurezza FIDO2 per gli account ad alto profilo e aggiorna regolarmente il sistema operativo e l’antivirus.

FAQ

• Qual è il primo passo per mettere in sicurezza l’account? Attivare la 2FA tramite app o chiave fisica dall’Accounts Center.
• Devo cliccare sui link nelle email di reset inattese? No, accedi direttamente all’app o al sito ufficiale per verificare.
• Come controllo accessi sospetti? Dalla sezione dispositivi/sicurezza, termina le sessioni non riconosciute.
• Che password usare? Unica, lunga, con caratteri misti, salvata in un password manager.
• Come ridurre il phishing? Limita la visibilità dei contatti e usa filtri antiphishing e aggiornamenti di sicurezza.
• Le chiavi FIDO2 sono utili? Sì, offrono una forte protezione contro takeover e phishing.
• Fonte giornalistica? engadget.com