Richieste di reset sospette e smentita di violazione
Un’ondata di email di reset password ha colpito numerosi utenti di Instagram, alimentando sospetti di una violazione su larga scala. L’allarme è partito da Malwarebytes, che ha parlato di dati sensibili di 17,5 milioni di profili esposti, inclusi username, indirizzi fisici, numeri di telefono ed email.
Instagram ha smentito con fermezza: nessuna intrusione nei propri sistemi, account dichiarati “sicuri” e un bug corretto che consentiva a terze parti di generare richieste di reset per “alcune persone”. Il messaggio ufficiale pubblicato su X invita gli utenti a ignorare quelle comunicazioni e si scusa per la confusione generata.
Il chiarimento arriva mentre molti segnalano numerosi avvisi di reset in sequenza, circostanza che ha amplificato il timore di compromissioni e possibili takeover. Instagram ribadisce che l’anomalia riguardava l’invio delle email, non un accesso ai dati interni, e che la vulnerabilità è stata risolta.
Possibile esposizione api del 2024 e dati sul dark web
Malwarebytes collega l’attività anomala a una possibile esposizione dell’API di Instagram risalente al 2024, individuata durante una scansione periodica del dark web. Secondo l’azienda, i pacchetti di informazioni sarebbero in vendita nei marketplace clandestini e potrebbero includere username, contatti e altri identificativi.
Nel suo report, Malwarebytes avverte che tali dataset alimentano campagne di phishing mirate e tentativi di takeover, sfruttando incroci di email e numeri di telefono. L’ipotesi tecnica è che un precedente punto di esposizione, sebbene non attivo oggi, possa aver generato liste finora inesfiltrate o non indicizzate.
Instagram respinge la tesi di una violazione attuale e parla esclusivamente di un bug sulle email di reset. Restano però monitoraggi in corso sui canali sotterranei, dove attori malevoli aggregano dati da più fonti per aumentarne il valore e la spendibilità criminale.
Consigli di sicurezza per proteggere l’account
Attiva la autenticazione a due fattori nell’Accounts Center di Meta scegliendo app di autenticazione o chiavi fisiche: riduce drasticamente i rischi di takeover anche in caso di email sospette. Aggiorna subito la password rendendola unica e complessa, evitando riutilizzi su altri servizi e archiviandola in un password manager affidabile.
Verifica i dispositivi attivi e le sessioni aperte dal pannello di sicurezza: disconnetti quelle che non riconosci e abilita gli avvisi di accesso. Diffida da email di reset non richieste: non cliccare link, accedi invece direttamente all’app o al sito ufficiale per controllare lo stato dell’account.
Proteggi i dati di contatto limitando la visibilità pubblica di email e numero di telefono e abilita filtri antiphishing sul client di posta. Segnala tentativi sospetti tramite gli strumenti di Instagram e conserva gli header dei messaggi per eventuali verifiche. Considera l’uso di chiavi di sicurezza FIDO2 per gli account ad alto profilo e aggiorna regolarmente il sistema operativo e l’antivirus.
FAQ
- Qual è il primo passo per mettere in sicurezza l’account? Attivare la 2FA tramite app o chiave fisica dall’Accounts Center.
- Devo cliccare sui link nelle email di reset inattese? No, accedi direttamente all’app o al sito ufficiale per verificare.
- Come controllo accessi sospetti? Dalla sezione dispositivi/sicurezza, termina le sessioni non riconosciute.
- Che password usare? Unica, lunga, con caratteri misti, salvata in un password manager.
- Come ridurre il phishing? Limita la visibilità dei contatti e usa filtri antiphishing e aggiornamenti di sicurezza.
- Le chiavi FIDO2 sono utili? Sì, offrono una forte protezione contro takeover e phishing.
- Fonte giornalistica? engadget.com
