- Сообщения
- 42
- Реакции
- 30
Утечка 17.5 млн аккаунтов Instagram
что произошло и чем это грозит
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
7 января 2026 года на BreachForums появилась база на 17.5 миллионов аккаунтов Instagram. Выложил пользователь под ником Solonik. Бесплатно. Скачать мог любой
Разберём что там было, откуда утекло и почему это касается не только владельцев Instagram
Что в базе
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Не пароли. Это важно. Паролей в сливе нет
Но есть:
- Юзернеймы
- Настоящие имена
- Верифицированные email-адреса
- Номера телефонов
- Уникальные ID аккаунтов
- Страна проживания
- Частичные данные о местонахождении
Казалось бы — ну и что, пароля же нет. А вот и нет. Этого набора хватает чтобы натворить дел
Откуда утекло
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Не классический взлом серверов Meta. Исследователи считают что данные собрали через кривой API-эндпоинт ещё в конце 2024 года. Кто-то нашёл дыру в API Instagram, спарсил 17.5 миллионов записей и держал базу у себя до января 2026
Meta сначала молчала. 11 января выпустили заявление — мол, никакого взлома не было, мы просто исправили баг который позволял запрашивать письма для сброса пароля. То есть уязвимость была, но они назвали это не утечкой а "проблемой"
Классика корпоративного PR — данные на даркнете, а компания говорит что всё нормально
Что уже делают с этими данными
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
База бесплатная, скачали тысячи людей. Использовать начали сразу
Фишинг. Зная email и юзернейм человека можно отправить письмо "от Instagram" — мол, подозрительная активность на аккаунте, смените пароль. Ссылка ведёт на фейк. Человек вводит свой настоящий пароль — и всё
Проверка активных аккаунтов. Через баг с reset password можно было проверить какие email живые. Атакующие триггерили сброс пароля и смотрели — если письмо ушло, аккаунт активен. Готовый список для таргетированных атак
Credential stuffing. У многих один пароль на всё. Если email из базы Instagram совпадает с email в другой утечке где есть пароли — доступ открыт. Не к Instagram, а к почте, банку, крипте
Социальная инженерия. Знаешь имя, email, телефон, страну — можно позвонить "из службы безопасности", написать в мессенджер, подделать переписку. Для целевых атак это золото
SIM swap. Номер телефона из базы + немного социалки = перевыпуск SIM у оператора. Дальше перехват SMS с кодами 2FA
Почему это касается всех
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
17.5 миллионов — это не мало. Но суть не в числе
Суть в том что API-скрейпинг — это тренд. Facebook в 2021 — утекло 533 миллиона. LinkedIn — 700 миллионов. Twitter — 200 миллионов. Теперь Instagram. Компании оставляют API открытыми или криво защищёнными, кто-то находит и парсит
И эти базы не пропадают. Они накапливаются. Слили тебя из Instagram — связали с Facebook через email — нашли номер телефона из LinkedIn — вот и полный профиль
Как проверить себя
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
- haveibeenpwned.com — вбей свой email, покажет в каких утечках засветился
- Если получал письмо о сбросе пароля Instagram которое ты не запрашивал — скорее всего твои данные в базе
- Проверь привязанный к Instagram email — если он же на бирже, на форумах, в мессенджерах — это проблема
Что делать
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
- Разные email для разных сервисов. Один для соцсетей, другой для финансов, третий для форумов. Утечка одного не тянет остальные
- 2FA через приложение (TOTP), не через SMS. SIM swap не поможет атакующему если у тебя Google Authenticator
- Уникальные пароли на каждый сервис. KeePass оффлайн — не в облаке, не в браузере
- Не реагировать на письма "срочно смените пароль" — заходить на сайт вручную, не по ссылке из письма
- Номер телефона по возможности не привязывать к аккаунтам. Или использовать отдельный номер
Итог
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Утечки будут всегда. Вопрос не "попадёшь ли ты в слив" а "что атакующий сможет сделать когда попадёшь". Если у тебя один email на всё, пароль password123 и 2FA по SMS — ответ "всё что захочет"
Разделяй данные, используй разные email, не ленись с паролями. Это не паранойя а гигиена
Вопросы по теме кидайте в ветку, разберём
