Gli esperti di Malwarebytes hanno comunicato su X che sono stati rubati i dati di 17,5 milioni di utenti Instagram. Il furto sarebbe avvenuto nel 2024 utilizzato una API del servizio. Un cybercriminale ha offerto gratuitamente le informazioni sul famigerato BreachForums. Nelle ultime ore sono stati segnalati tentativi di resettare le password degli account. Al momento non c’è nessuna conferma da parte di Meta.
Attivare subito l’autenticazione in due fattori
Come si può vedere nell’immagine allegata al post di Malwarebytes su X, molti utenti hanno ricevuto da Instagram un’email relativa alla richiesta di reset della password. Un cybercriminale hanno pubblicato su BreachForums i dati in formato JSON e TXT di 17,5 milioni di utenti. Il furto sarebbe avvenuto nel 2024 utilizzando una API di Instagram. Tra le informazioni ci sono username, indirizzo email, indirizzo fisico, numero di telefono e user ID.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
L’esperto Troy Hunt, creatore del sito Have I Been Pwned, ha sottolineato che non si tratta di un grave problema perché è stato usato il modulo di reimpostazione, sfruttando username pubblico o indirizzo email degli utenti. Dall’analisi dei dati risultano “solo” 6,2 milioni di indirizzi email unici.
Finora non è arrivata nessuna conferma ufficiale da Meta. Queste informazioni potrebbero essere utilizzate per varie attività illecite, tra cui tentativi di phishing e furto dell’account. Chi riceve la suddetta email non deve assolutamente cliccare sul pulsante di reset delle password, ma cancellarla subito.
Gli esperti di Malwarebytes consigliano di usare questo tool per verificare la presenza dell’indirizzo email nel database e di attivare l’autenticazione in due fattori. È preferibile inoltre cambiare la password.
Instagram ha comunicato stamattina che è stato risolto un bug sfruttato per inviare richieste di reset della password. Secondo Troy Hunt, i due casi non sono correlati.
