Priča o curenju podataka Instagramovih korisnika je krenula nakon izvješća da se na hakerskom forumu dijeli dataset s ‘preko 17 milijuna redaka’ Instagram podataka. Have I Been Pwned navodi da se radi o javno dostupnim informacijama koje su navodno scraped preko Instagram API-ja, s time da dio zapisa sadrži i e mail adrese i ponekad brojeve telefona ili geolokacijske podatke.
U isto vrijeme mnogi su korisnici dobivali legitimne Instagram poruke o resetu lozinke koje nisu tražili, što je dodatno pojačalo paniku. Instagram je javno rekao da je popravio problem koji je ‘vanjskoj strani’ omogućio da pokreće slanje reset e mailova za neke ljude te naglasio da nije bilo provale u njihove sustave i da su računi sigurni, uz savjet da se takvi mailovi mogu ignorirati.
Važan detalj je da više izvora tvrdi kako ova dva događaja možda nisu izravno povezana. SecurityWeek i Have I Been Pwned navode da dataset ne izgleda kao ‘krađa lozinki’, nego kao scrape podataka, dok je reset mail problem bio zasebna ranjivost u procesu slanja zahtjeva. Drugim riječima, čak i ako vam je stigao reset, to ne znači automatski da vam je netko ‘uletio’ u profil, ali znači da će prevaranti imati više materijala za uvjerljive poruke tipa ‘vaš račun je zaključan, kliknite ovdje’.
Što vi možete napraviti odmah, bez panike. Uključite 2FA, najbolje preko authenticator aplikacije, promijenite lozinku ako je koristite i drugdje, te u Instagramu provjerite ‘Login activity’ i izlogirajte sve uređaje koje ne prepoznajete. I još jedna stvar: ne klikajte linkove iz nenajavljenih ‘security’ mailova, nego uđite u aplikaciju i tamo ručno provjerite obavijesti i postavke.