Desítky tisíc uživatelů Instagramu obdržely e-mailové výzvy k obnovení hesla. Společnost uvedla, že odstranila problém, který umožnil „externí straně“ vygenerovat legitimní požadavky na reset hesel zasílané uživatelům, a zdůraznila, že nedošlo k průniku do jejích systémů a účty jsou v bezpečí.
Malwarebytes však tvrdí, že e-maily byly následkem hacku a že kyberzločinci získali citlivé údaje 17,5 milionu účtů včetně uživatelských jmen, fyzických adres, telefonních čísel a e-mailů. Malwarebytes zveřejnila na platformě X příspěvek se snímkem jedné z e-mailových výzev; příspěvek měl přes 2,3 milionu zhlédnutí. Malwarebytes rovněž sdělila BBC, že podle ní jsou výzvy spojeny s probíhajícím prodejem soukromých dat na hackerském fóru, kde je údajně nabízen soubor údajů, jehož původ autor inzerátu označil jako „únik“ z roku 2024.
Někteří bezpečnostní výzkumníci však uvádějí, že jde spíše o starší databázi složenou z údajů, které bylo možné dohledat veřejně – například jmen a lokací – a které pocházejí z roku 2022. Instagram na dotazy BBC ohledně identity „externí strany“, která mohla vyvolat zasílání legitimních e-mailů, nereagoval.
E-maily vyvolaly mezi uživateli obavy, že jde o podvod nebo phishing, ale odkazy v zaslaných zprávách se nezdají být škodlivé a proces resetu hesla působí jako legitimní. Doporučení zůstává stejné: při změnách hesla a aktivaci dodatečného zabezpečení je bezpečnější přihlásit se přímo přes web nebo aplikaci služby místo klikání na odkazy v e-mailech.
