(纽约11日讯)社群平台Instagram(IG)传出大规模个资外泄事件。资安公司Malwarebytes证实,约有1750万名IG用户的个人资料遭到外泄,相关资料已在骇客论坛与暗网上被免费散布,恐遭不法人士利用进行诈骗与帐号盗用。更引发关注的是,经比对发现,该骇客疑似与日前在暗网兜售台湾好市多(Costco)会员个资为同一人。
综合外媒《CyberInsider》、《Engadge》报导,Malwarebytes表示,该公司在例行性的暗网监控中发现这批外泄资料,内容涵盖多项敏感资讯,包括使用者名称、真实姓名、电子邮件信箱、电话号码、部分实体地址及其他联络方式。
调查指出,这批资料疑似源自2024年IG应用程式介面(API)外泄事件。一名使用代号为“Solonik”的骇客近日在知名骇客论坛BreachForums公开部分样本供人下载,并宣称可付费购买完整资料包。
目前IG母公司Meta尚未对此事件发表正式回应,相关询问也未获回复,官方资安公告页面与社群平台亦未见说明。外界尚无法确认资料外泄的确切原因,是否为API端点设定错误、第三方整合漏洞,或内部系统设定不当所致。
资安专家警告,骇客可能利用这些资料发动冒充攻击、钓鱼邮件,甚至透过IG的“重设密码”机制尝试接管帐号。
Malwarebytes进一步指出,已有部分受影响用户收到多封来自IG的密码重设通知,这些通知可能是真实的安全机制,也可能已遭有心人士滥用。用户未来恐收到外观相当逼真的电子邮件或私讯,诱导点击恶意连结或输入帐密。
资安专家建议,用户应立即更换IG密码、启用双重验证(2FA),并检查帐号是否有不明装置登入。同时,Malwarebytes也提供免费的“数位足迹”查询服务,让用户确认自身电子邮件是否出现在外泄名单中。
蔡秀仪
