Prima di procedere
Un allarme rosso per la privacy degli utenti di Instagram è stato lanciato dalla società di sicurezza informatica Malwarebytes, che ha scoperto una massiccia fuga di dati riguardante ben 17,5 milioni di account. Le informazioni, frutto di un attacco hacker, sono state rese disponibili gratuitamente su forum specializzati, incluso BreachForums, a partire dal 7 gennaio 2026 da un cybercriminale con lo pseudonimo di Solonik.
Secondo quanto riportato da Cyberinsider, citando gli esperti di Malwarebytes, la causa della violazione potrebbe risiedere in una vulnerabilità risalente al 2024 nell'interfaccia di programmazione applicativa (API) di Instagram. Sebbene il vettore di attacco non sia stato ancora identificato con certezza, si ipotizza che possa derivare dall'API stessa, da una falla in un servizio di terze parti integrato o da un errore interno del software. L'analisi dei dati trafugati rivela la presenza di campi JSON strutturati, tipici delle risposte di un'API, suggerendo che le informazioni siano state estratte dai metadati dei profili, probabilmente tramite tecniche di scraping.
La gravità della situazione risiede nel fatto che i dati compromessi – nomi utente, numeri di telefono, indirizzi email e, in alcuni casi, indirizzi fisici parziali – sono già sfruttati dai criminali informatici per condurre attacchi mirati. Tra le minacce più immediate figurano le campagne di phishing, volte a carpire ulteriori informazioni sensibili tramite email ingannevoli, e i tentativi di accesso non autorizzato agli account attraverso la procedura di recupero password. Diversi utenti coinvolti nella fuga di dati hanno segnalato di aver ricevuto notifiche da Instagram relative a richieste di reimpostazione della password, un chiaro segnale di attività sospette.
Al momento della pubblicazione, Meta, la società madre di Instagram, non ha rilasciato alcun commento ufficiale sull'incidente. Le richieste di chiarimenti da parte dei giornalisti di CyberInsider sono rimaste senza risposta e nessuna dichiarazione è apparsa sui canali social o sulle pagine dedicate alla sicurezza del social network. Questo silenzio da parte di Meta alimenta ulteriormente la preoccupazione tra gli utenti, che si sentono abbandonati e privi di informazioni cruciali per proteggere i propri account.
Di fronte a questa emergenza, gli esperti di Malwarebytes raccomandano a tutti gli utenti di Instagram di verificare se il proprio indirizzo email è presente nel database dei dati compromessi, utilizzando lo strumento gratuito di scansione Digital Footprint. Inoltre, è fortemente consigliato modificare immediatamente la password del proprio account Instagram e attivare l'autenticazione a due fattori per rafforzare la sicurezza e prevenire accessi non autorizzati. L'autenticazione a due fattori, in particolare, rappresenta una barriera aggiuntiva fondamentale, poiché richiede l'inserimento di un codice univoco generato su un dispositivo personale oltre alla password, rendendo molto più difficile per i malintenzionati violare l'account.
La fuga di dati di Instagram solleva interrogativi importanti sulla sicurezza delle informazioni personali online e sulla responsabilità delle piattaforme social nel proteggere i propri utenti. È fondamentale che Meta prenda seriamente questo incidente, fornisca chiarimenti tempestivi e adotti misure concrete per prevenire future violazioni. Nel frattempo, gli utenti sono invitati a rimanere vigili, a seguire le raccomandazioni degli esperti di sicurezza e a proteggere attivamente i propri account online.
