Společnost Meta, která Instagram vlastní, se k situaci vyjádřila poměrně rychle. Podle jejího stanoviska nešlo o žádný únik dat ani o prolomení systémů. Problém prý vznikl chybou, která umožnila externím subjektům spouštět odesílání resetovacích e mailů. Jinými slovy někdo dokázal vyvolat odeslání zprávy, aniž by měl k účtu přístup. Firma tvrdí, že samotné účty ohroženy nebyly a že uživatelé mohou tyto e maily klidně ignorovat.

Na první pohled by se mohlo zdát, že jde jen o nepříjemnou technickou závadu. Situace se ale komplikuje tím, co se zároveň objevilo mimo oficiální kanály. Bezpečnostní společnost Malwarebytes upozornila, že na hackerských fórech kolují data až 17,5 milionu instagramových účtů. Nejde přitom o náhodné přezdívky. Údajně se objevují celé profily včetně uživatelských jmen, e mailových adres, telefonních čísel a v některých případech i fyzických adres.

Zdroj: Shutterstock

Odkud se vzala data, která kolují po darknetu

Podle Malwarebytes mají tyto informace pocházet z úniku přes rozhraní Instagramu z roku 2024. Jiní bezpečnostní experti to ale vidí jinak a tvrdí, že data byla získána už při známém sběru dat v roce 2022, kdy bylo možné přes veřejné rozhraní hromadně stahovat informace o uživatelích. Meta obě tyto verze odmítá a říká, že o žádném oficiálním úniku v těchto letech neví.

Pro běžného uživatele ale není až tak důležité, jestli k úniku došlo před dvěma, čtyřmi nebo pěti lety. Podstatné je, že se po internetu šíří skutečná data skutečných lidí. A právě to vytváří ideální prostředí pro útoky, které jsou mnohem nebezpečnější než obyčejný spam.

Pokud má útočník k dispozici reálné jméno, e mail, telefonní číslo a přezdívku na Instagramu, dokáže vytvořit velmi přesvědčivou zprávu. Ta pak může vypadat jako běžné upozornění od Mety a odkazovat na falešnou přihlašovací stránku. Uživatel, který už je navíc znejistěn tím, že mu před chvílí přišel opravdový resetovací e mail, má mnohem větší šanci naletět.

Právě proto je současná situace riziková. Oficiální chyba v systému rozesílání e mailů a kolující únik dat vytvářejí kombinaci, která hraje do karet podvodníkům. Nejde tedy o to, že by někdo hromadně přebíral účty. Jde spíš o to, že lidé dostávají matoucí signály a snadněji kliknou tam, kam by normálně neklikli.

Meta doporučuje, aby uživatelé ignorovali nevyžádané výzvy ke změně hesla a veškeré informace si ověřovali přímo na oficiálních stránkách nebo v aplikaci. To je v tuto chvíli skutečně nejbezpečnější postup. Pokud se Instagram doopravdy pokusí o bezpečnostní zásah, projeví se to přímo po přihlášení, nikoliv jen v e mailu.