Um suposto vazamento de grandes proporções teria exposto informações de aproximadamente 17,5 milhões de contas do Instagram.
A base de dados supostamente vazada, inclui nomes de usuário, endereços de e-mail, números de telefone e dados parciais de endereços físicos, estaria sendo negociada na dark web.
Esses dados tornam os usuários afetados mais vulneráveis a fraudes, roubo de identidade e ataques de engenharia social.
Pesquisadores da Malwarebytes afirmam que o conjunto de informações é suficiente para permitir ataques direcionados, como campanhas de phishing altamente sofisticadas.
Os dados expostos possibilitam a personalização de abordagens fraudulentas, aumentando as chances de sucesso dos criminosos.
Dados teriam sido coletados via scraping
Análises de fóruns clandestinos indicam que o banco de dados foi anunciado por um vendedor identificado pelo codinome Subkek, que alega ter coletado as informações nos últimos meses de 2024 por meio de scraping de APIs públicas e fontes regionais.
Amostras divulgadas nos anúncios apresentam combinações de nomes, e-mails, telefones e informações parciais de geolocalização, o que reforça a credibilidade do material ofertado.
Relatos de tentativas de invasão
Após a divulgação da suposta base, usuários passaram a relatar o recebimento de notificações legítimas de redefinição de senha do Instagram, o que indica tentativas de tomada de controle das contas.
O conhecimento prévio do e-mail e do número de telefone associados aos perfis facilita a atuação de golpistas, que se passam por representantes do Instagram ou da Meta durante processos de recuperação de acesso.
Riscos incluem phishing e SIM swapping
Embora não haja indícios de que senhas em texto claro façam parte do conjunto de dados, o volume de informações pessoais expostas pode viabilizar ataques de spear phishing, tentativas de engenharia social e, em alguns casos, SIM swapping, técnica utilizada para interceptar códigos de autenticação.
A combinação de dados de contato e localização parcial também amplia o risco de fraudes financeiras e golpes em outros serviços vinculados às vítimas.
Procurada, a Meta, controladora do Instagram, negou a ocorrência de violação em seus sistemas e afirmou que as contas permanecem seguras.
Segundo a empresa, o episódio estaria relacionado a um bug que permitia o envio indevido de e-mails de redefinição de senha e não a um comprometimento de suas bases internas.
E você recebeu e-mail com pedido de redefinição de senha? Eu recebi algumas vezes.
Isso reforça ainda mais o cuidado que, cada um de nós, deve ter.
Não abra e-mails com pedidos de redefinição de senha, em caso de dúvida, acesse diretamente a plataforma e mude sua senha por lá.
A proteção de nossos dados começa pelo nosso cuidado e comportamento.
