Güvenlik şirketi Malwarebytes, Instagram’da 17,5 milyon hesabı etkileyen ciddi bir veri sızıntısının tespit edildiğini açıkladı.
Siber güvenlik uzmanlarınca doğrulanan ihlalin, milyonlarca kullanıcıyı kimlik hırsızlığı ve hedefli oltalama (phishing) saldırılarına açık hale getiren kapsamlı bir iletişim verisi havuzunu içerdiği belirtildi.
17 BUÇUK MİLYON KAYIT İÇERİYOR
Söz konusu veri seti, bu haftanın başlarında “Solonik” takma adını kullanan bir saldırgan tarafından bilinen bir bilgisayar korsanı forumunda yayınlandı.
“INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” başlığıyla paylaşılan ilan, JSON ve TXT formatlarında 17,5 milyon kayıt içerdiğini iddia ediyor.
Forumdaki paylaşıma göre veriler, 2024 yılının sonlarında bir “API sızıntısı” yoluyla elde edildi.
Saldırganların, standart güvenlik önlemlerini atlayarak dünya çapındaki kullanıcı profillerini veri kazıma (scraping) yöntemiyle topladığı belirtiliyor.
Sızdırılan veri tabanı, sadece kullanıcı adlarını değil, şu kritik bilgileri de içeriyor:
– Tam isimler ve kullanıcı adları
– Doğrulanmış e-posta adresleri
– Telefon numaraları
– Kullanıcı kimlik numaraları (ID)
– Ülke ve kısmi konum verileri
Veri örneklerinden alınan ekran görüntüleri, siber suçluların hedefleri hakkında kapsamlı profiller oluşturmasına olanak tanıyan bu alanların geçerliliğini doğruluyor.
AKTİF RİSKLER VE İSTİSMAR UYARILARI
Veri sızıntısı, yayınlanmasının ardından hızla aktif bir tehdide dönüştü. Çok sayıda Instagram kullanıcısı, verilerin sızdırılmasından bu yana istenmeyen şifre sıfırlama bildirimlerinde büyük bir artış olduğunu bildirdi.
Sızıntının şifreleri içermediği görülse de e-posta ve telefon numaralarının birleşimi, “SIM kart değişimi” saldırıları ve gelişmiş sosyal mühendislik yöntemleri için yeterli kabul ediliyor.
Dolandırıcılar, kendilerini Instagram destek ekibi gibi tanıtarak veya ifşa olan kişisel detayları kullanarak güven inşa edip kurbanları iki faktörlü doğrulama (2FA) kodlarını veya giriş bilgilerini vermeleri için kandırabiliyor.
Olay, Instagram’ın ana sunucularına doğrudan bir sızma yerine, halka açık arayüzler üzerinden otomatik veri toplama işlemi olan “kazıma” olarak sınıflandırıldı.
Ancak API sızıntısının ölçeği, hız sınırlaması veya gizlilik korumalarındaki bir eksikliğin, saldırganların tespit edilmeden milyonlarca hesabı sorgulamasına izin verdiğini gösteriyor.
VERİSİ ÇALINAN KULLANICILAR, ŞİFRE SIFIRLAMA BİLDİRİMİ ALIYOR
İletişim bilgileri çalınan kullanıcılar, şifrelerini sıfırlamalarını veya kimliklerini doğrulamalarını isteyen ve olağan görünen e-postalar veya mesajlar alabilir.
Malwarebytes, etkilenen bazı kullanıcıların Instagram’dan şifre sıfırlama bildirimleri aldığını ve bu bildirimlerin olağan olabileceği gibi kötü niyetli kişiler tarafından devam eden suistimalin bir parçası da olabileceğini belirtti.
META’DAN AÇIKLAMA GELMEDİ
10 Ocak 2026 itibarıyla Meta, 17,5 milyonluk bu veri sızıntısına ilişkin henüz resmi bir açıklama yapmadı.
Siber güvenlik uzmanları, tüm Instagram kullanıcılarına SMS yerine bir kimlik doğrulama uygulaması kullanarak çok faktörlü kimlik doğrulamayı (MFA) hemen etkinleştirmelerini ve talep edilmeyen şifre sıfırlama e-postalarını dikkate almamalarını tavsiye ediyor.
