Negli ultimi giorni è emersa pubblicamente una presunta violazione dei dati degli utenti Instagram che sta facendo molto rumore. Parliamo di un database che conterrebbe informazioni su circa 17,5 milioni di account: una scala che, anche senza password coinvolte, merita massima attenzione.
Secondo le prime informazioni, la fuga di dati sarebbe avvenuta nel corso del 2024, ma la questione è diventata visibile solo di recente, quando il dump è stato pubblicato su alcuni forum del Dark Web. Questo è un dettaglio importante: significa che i dati potrebbero essere in circolazione da mesi, magari già sfruttati da chi li ha ottenuti prima che diventassero pubblici.
Quali dati sarebbero esposti?
La buona notizia è che non risultano presenti password, un elemento che spesso determina l’impatto immediato di un data breach. La cattiva notizia è che il database include comunque informazioni molto sensibili, perfette per costruire attacchi mirati:
- indirizzi email
- numeri di telefono
- username
- ID degli account
- metadati vari (che possono includere informazioni sul profilo, impostazioni, attività)
Nessuno di questi elementi, isolato, è devastante. Ma quando li combini, diventano un kit ideale per orchestrare attacchi credibili e personalizzati.
Perché è un rischio serio anche senza password
Dopo la pubblicazione del leak, è stato osservato un aumento delle attività malevole rivolte agli utenti Instagram. E non è una sorpresa: quando un elenco così grande finisce in mano agli attaccanti, scatta subito la corsa a sfruttarlo.
I rischi principali sono:
- tentativi di takeover degli account
- richieste fraudolente di reset password (molto credibili, visto che conoscono email o telefono)
- campagne di phishing e social engineering costruite ad hoc
L’assenza di password riduce l’impatto immediato, è vero. Ma non annulla il problema: gli attaccanti oggi giocano soprattutto sulla manipolazione, non sulla forza bruta. Sapere come ti chiami, che username usi, e a quale email o numero sei collegato è sufficiente per creare un messaggio talmente realistico da farti abbassare la guardia.
Come proteggersi
Ecco le azioni più importanti e immediate:
- Attivare l’autenticazione a più fattori (MFA) sull’account Instagram
È la barriera che rende quasi inutilizzabili molte tecniche di abuso basate sulla sola conoscenza dei dati. - Diffidare da email, SMS o messaggi che chiedono di resettare la password
In caso di dubbio, non cliccare: vai direttamente nell’app e verifica da lì. - Controllare sempre l’autenticità dei link
Anche un dettaglio minimo, come un dominio leggermente diverso, può tradire un tentativo di phishing.
Se confermata nelle sue dimensioni, questa violazione diventerà un altro esempio di quanto i dati “non critici” possano comunque alimentare attacchi complessi. In cybersecurity, spesso la partita non si gioca su ciò che gli hacker trovano… ma su ciò che riescono a farci credere.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
