Un nou val de îngrijorări privind securitatea datelor afectează Instagram, după ce a fost raportată existența unui set masiv de informații atribuit platformei, care ar fi fost comercializat pe dark web. În centrul atenției se află datele a 17,5 milioane de utilizatori și un aspect care intensifică tensiunea: suspiciunea că Meta nu ar fi informat în mod clar despre incident, deși are obligații legale de notificare în anumite situații.
Este important să înțelegem și nuanțele cazului, deoarece în domeniul securității diferența dintre o „breșă” în sens strict și „scraping” sau „abuz de API” poate modifica complet gravitatea tehnică, dar nu neaparat riscul pentru utilizatori. Indiferent de modul în care au fost obținute datele, impactul este același: informațiile personale expuse pot fi folosite pentru atacuri de tip phishing, tentative de preluare a conturilor și escrocherii țintite.
Semnalul a fost tras de compania de securitate Malwarebytes, care a indicat că hackerii ar fi pus în vânzare pe dark web un „pachet” cu datele a 17,5 milioane de utilizatori Instagram. Conform relatărilor din mass-media, aceste seturi conțin nume de utilizator, numere de telefon, adrese de e-mail, adrese fizice și alte date personale, suspectate a fi utilizate pentru atacuri de tip phishing.
Un aspect crucial: absența parolelor dintr-un astfel de fișier nu garantează siguranța. În practică, combinația de e-mail, telefon, nume și indicii de localizare poate fi suficientă pentru a fi vizat cu mesaje foarte credibile: „resetare parolă”, „cont blocat”, „confirmă identitatea”, „ai încălcat regulile”. Când mesajele includ detalii reale despre utilizator, șansele de a fi păcălit cresc semnificativ. De aici până la furtul contului sau compromiterea adresei de e-mail poate fi doar un click nesăbuit.
Originea datelor: „incident 2024” și discuțiile despre API
Conform relatărilor, Malwarebytes sugerează posibilitatea ca datele să fie legate de un incident din 2024, asociat cu API-ul platformei. Asta indică faptul că informațiile nu au fost furate dintr-un server intern tradițional, ci colectate prin expunere sau exploatare care a permis extragerea în masă dintr-o interfață programatică. Pentru utilizator, diferența tehnică este mai puțin semnificativă decât efectul: datele circulă și pot fi utilizate în atacuri.
Apare și confuzia care alimentează scandalul: în spațiul public, orice scurgere masivă e numită „breșă”, însă companiile preferă termeni precum „abuz”, „scraping” sau „incident limitat”, mai ales când vor să sublinieze că „sistemele interne nu au fost compromise”. Nu e doar o chestiune de imagine; este și o problemă juridică, deoarece obligațiile de notificare depind de evaluarea riscului și de natura incidentului.
Reacția Meta despre „valul de resetări” și motivul pentru care subiectul nu se încheie
În ziua în care situația a devenit publică, Meta/Instagram a comunicat că a remediat o vulnerabilitate care permitea terților să solicite e-mailuri de resetare a parolei pentru anumite conturi și a afirmat că nu a fost înregistrată nicio breșă a sistemelor, precizând că „conturile sunt în siguranță”, recomandând ignorarea acelor e-mailuri.
Total, această poziție nu răspunde complet întrebărilor legate de setul de date. În același timp, unele publicații de tehnologie sugerează că fața de setul menționat se poate lega și de un dump apărut pe forumuri de leak-uri, atribuibil unei scurgeri din 2024. Ai putea avea în același timp: (1) un bug sau abuz legat de e-mailurile de resetare, despre care Instagram susține că a fost rezolvat și (2) un set de informații circulant, care ar proveni dintr-un incident mai vechi, dintr-o altă zonă. În orice caz, rezultatul este același: crește riscul de phishing și probabilitatea de a primi mesaje frauduloase.
Obligațiile de notificare și importanța transparenței în cazul incidentelor
În Uniunea Europeană, GDPR solicită, în anumite condiții, notificarea fără întârziere a autorităților de supraveghere și, acolo unde este posibil, în maximum 72 de ore de la momentul descoperirii încălcării securității datelor cu caracter personal. În plus, dacă incidentul poate prezenta un risc semnificativ pentru drepturile și libertățile persoanelor, se impune și informarea rapidă a acestora.
Astfel, lipsa comunicării în cazul unor incidente relevante poate ridica întrebări legale. Totuși, companiile pot argumenta că un set de date colectat public sau semi-public nu intră neapărat în aceeași categorie cu o breșă clasică dintr-o bază de date internă. Aceasta face ca discuția juridică să fie mai complexă decât titlurile din știri.
Ce trebuie să faci ca utilizator Instagram: pași simpli și recomandări utile
Primul pas: asigură-te că navigatezi mai departe cu măsuri eficiente de apărare. Activează autentificarea în doi pași și, dacă este disponibil, folosește passkey. Evită metoda prin SMS, optând pentru o aplicație de autentificare, deoarece SMS-urile pot fi vulnerabile la atacurile de tip SIM swap. Scopul este ca, chiar dacă parola ta este ghicită sau furată, a doua etapă să blocheze accesul neautorizat.
Al doilea sfat: fim vigilenți în cazul resetărilor. Nu accesa linkuri din e-mailuri sau mesaje nesolicitate. Verifică direct în aplicație dacă există alerte reale. În cazul în care primești constant solicitări de resetare a parolei, schimbă parola, verifică dispozitivele conectate și revocă sesiuni pe care nu le recunoști. În plus, securizează adresa de e-mail asociată: dacă aceasta este compromisă, contul tău Instagram devine mult mai vulnerabil.
La final, păstrează o abordare precaută: nu controlezi modul în care o platformă gestionează incidentele, însă poți interveni în propria securitate digitală. Activarea autentificării în doi pași, evitarea linkurilor suspecte și verificarea periodică a setărilor de securitate reduc considerabil riscul ca o scurgere de date clandestină să devină un dezastru pentru conturile personale.