数百万Instagram凭证在暗网流通：警惕新一波钓鱼攻击

2024年Instagram API中的一个漏洞暴露了超过1750万账户的个人信息，这些数据现在在地下平台上再次出现。被泄露的信息包括用户名、电子邮件地址、电话号码以及与个人资料相关的元数据，给受影响的用户带来了直接的威胁。

危机的起因：一次灾难性的配置错误

此次漏洞源于Instagram API系统中的配置不当，导致未经授权的用户信息提取。尽管事件发生在2024年，但这些数据在2026年1月在暗网再次出现，重新加剧了风险，将旧信息变成了黑客的宝贵资产。

知名网络安全公司Malwarebytes在Breachforums等非法交换平台上发现了这些被泄露的数据，公开发出安全警告。

真正的威胁：复杂的钓鱼攻击

攻击者不仅掌握了个人数据，还找到了巧妙而有效的利用方式。他们利用泄露的信息发送伪造的电子邮件，模拟Instagram的密码重置请求。当受害者在消息中识别出自己的真实信息时，这些钓鱼攻击的成功率大大提高。

自数据在暗网再次出现以来，冒充账户的尝试明显增加，数千用户报告收到了针对其账户的可疑邮件。

立即采取的保护措施

Malwarebytes建议所有潜在受影响的用户立即采取防御措施：

• 更改密码：更新Instagram密码，尤其是使用相同密码的其他账户
• 启用双因素认证：增加一层安全保护，显著阻止未授权访问
• 检查账户变更：审查近期活动和已连接设备，确保账户安全
• 警惕电子邮件中的链接：直接通过浏览器访问Instagram，而非点击电子邮件中的链接

Meta的沉默

截至目前，Meta尚未就暗网中这些数据的再次出现发表公开声明，也未披露可能采取的其他保护措施。这种缺乏回应与信息披露的缺失，与数据泄露的严重性形成鲜明对比，也让用户对未来的补救措施感到不确定。

这一情况凸显了个人安全卫生的重要性，并强调无论平台采取何种措施，个人在保护凭证方面的责任依然至关重要。