Na dark webu se objevil dataset údajně obsahující data 17,5 milionu uživatelů Instagramu

Na hackerských fórech na dark webu se v posledních dnech objevil dataset, který má podle tvrzení jeho autora obsahovat osobní údaje přibližně 17,5 milionu uživatelů platformy Instagram. Na případ upozornili bezpečnostní výzkumníci ze společnosti Malwarebytes, kteří existenci nabídky a ukázky dat ověřili.

V tuto chvíli nejde o oficiálně potvrzený bezpečnostní incident ze strany společnosti Meta, a dostupné informace proto vyžadují opatrnou interpretaci.

Dark web listing a tvrzený původ dat

Dataset byl zveřejněn na známém hackerském fóru uživatelem vystupujícím pod přezdívkou Solonik. Nabídka nese název:

„INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK“

Podle popisu má databáze obsahovat přibližně 17–17,5 milionu záznamů a být dostupná ve formátech JSON a TXT. Autor tvrdí, že data byla získána koncem roku 2024 prostřednictvím tzv. API leaku – tedy zneužitím rozhraní umožňujícího hromadné dotazování uživatelských profilů.

Je důležité zdůraznit, že označení „API leak“ pochází od útočníka a nejde o oficiální technickou klasifikaci incidentu.

Jaká data má dataset údajně obsahovat

Podle ukázek dat a analýz bezpečnostních výzkumníků má databáze obsahovat kombinaci následujících údajů:

• uživatelská jména a interní ID účtů
• celé jméno účtu (pokud bylo veřejně dostupné)
• e-mailové adresy (u části záznamů)
• telefonní čísla (u části záznamů)
• stát a částečné lokalizační informace

Rozsah uložených údajů se může lišit záznam od záznamu. Neexistují důkazy, že by dataset obsahoval hesla nebo autentizační tokeny.

Nejde o průnik do systémů Instagramu

Na základě dostupných informací nejde o potvrzený přímý průnik do interních systémů Instagramu. Incident odpovídá spíše vzorci masového scrapingu – tedy automatizovaného sběru dat z veřejných nebo poloveřejných rozhraní.

Takové scénáře obvykle souvisejí s:

• nedostatečným omezením počtu dotazů (rate-limiting),
• chybějící detekcí anomální aktivity,
• nebo nadměrným zpřístupněním údajů v API odpovědích.

Rizika pro uživatele

Přestože dataset zjevně neobsahuje hesla, kombinace kontaktních údajů představuje významné bezpečnostní riziko. Taková data mohou být zneužita zejména pro:

• cílené phishingové kampaně,
• pokročilé formy sociálního inženýrství,
• pokusy o SIM swapping útoky.

V této souvislosti se objevily i zprávy o nárůstu nevyžádaných e-mailů souvisejících s resetem hesla. Přímá souvislost s tímto datasetem však nebyla potvrzena a může jít o paralelní phishingové aktivity.

Reakce platformy

Společnost Meta, provozovatel Instagramu, se k tomuto konkrétnímu datasetu dosud veřejně nevyjádřila. Platforma dlouhodobě deklaruje snahu omezovat scraping a zneužívání automatizovaných nástrojů, nicméně podobné dark web nabídky obvykle nekomentuje, dokud nejsou jednoznačně ověřeny.

Doporučení pro uživatele

Bez ohledu na další vývoj případu bezpečnostní experti doporučují:

• používat vícefaktorové ověřování (MFA), ideálně prostřednictvím autentizační aplikace,
• ignorovat nevyžádané e-maily vyzývající ke změně hesla,
• kontrolovat odesílatele a odkazy v přijatých zprávách,
• pravidelně revidovat zabezpečení účtu.

Závěr

Případ znovu ukazuje, že masový scraping dat představuje dlouhodobé a podceňované riziko, které nemusí zahrnovat přímý průnik do systémů, aby mělo závažné dopady na soukromí uživatelů.

Dokud nebude incident oficiálně potvrzen nebo vyvrácen, je namístě pracovat s dostupnými informacemi opatrně a oddělovat tvrzení útočníků od ověřených faktů.