Instagram 1750 万账号数据泄露事件通报
安全公司 Malwarebytes 于 1月10日披露,暗网出现大规模 Instagram 数据泄露,涉及约 1750 万用户。此次泄露并非源于服务器被黑,而是攻击者利用 Instagram 在 2024 年末未受保护的 API 端点,系统性抓取公开接口中的用户信息。
泄露数据包括:用户全名、电子邮件地址、电话号码及位置信息,但不包含密码。
风险升级:与 Facebook 账号深度绑定
Instagram 与 Facebook 已完成账号体系整合,统一管理密码、双因素验证等核心安全设置。这意味着 Instagram 的 API 漏洞可能成为攻击 Facebook 广告资产的跳板。
已有迹象表明,攻击者正利用该漏洞实施“武装化”攻击:大量用户收到异常密码重置邮件,借此制造混乱,进而开展钓鱼、冒充官方人员、诱导提供验证码等诈骗行为。
更需警惕的是,近期多起黑产操作均与 Instagram 相关,例如:
Meta 官方回应称:“已修复一个允许外部人员为部分用户请求密码重置邮件的问题。”该表述侧面印证了 API 层存在安全缺陷。
应对建议
对跨境广告从业者而言,资产安全责任在己不在平台。请立即检查并强化以下环节:
- 所有关联 Instagram 的 Facebook 账号是否启用强密码+双重验证(2FA);
- BM 中管理员权限是否最小化授权,定期审计成员列表;
- 警惕任何来自非官方渠道的“验证请求”“重置通知”类邮件或短信;
- 避免使用第三方工具接入 Instagram 或 Facebook API,尤其来源不明的浏览器扩展。
