Sommige Instagram-gebruikers hebben de afgelopen tijd onverwacht een email ontvangen om hun wachtwoord opnieuw in te stellen, terwijl ze daar zelf helemaal niet om hadden gevraagd. Volgens Meta is er echter geen sprake geweest van een datalek.
Meta laat weten dat accounts op geen enkel moment in gevaar zijn geweest. In plaats daarvan zou het gaan om een fout waardoor externe partijen resetmails konden laten versturen, zonder dat ze daadwerkelijk toegang hadden tot accounts.
“We hebben een probleem opgelost waardoor een externe partij wachtwoord-resetmails kon aanvragen voor sommige Instagram-gebruikers,” aldus een woordvoerder van Meta. “We willen iedereen geruststellen dat er geen sprake was van een inbreuk op onze systemen en dat Instagram-accounts veilig zijn gebleven. Mensen kunnen deze emails negeren en we bieden onze excuses aan voor de verwarring die dit mogelijk heeft veroorzaakt.”
Gestolen data of niet?
Dit volgt op recente claims van Malwarebytes dat onbekende hackers gegevens zouden hebben buitgemaakt van zo’n 17,5 miljoen Instagram-accounts. Het zou gaan om onder andere gebruikers-ID’s, gebruikersnamen, e-mailadressen, telefoonnummers, namen en postadressen.
Volgens de onderzoekers circuleert die informatie inmiddels op verschillende hackforums. Daar wordt beweerd dat de data afkomstig is uit een Instagram API-lek uit 2024. Niet iedereen is het daarmee eens. Sommige beveiligingsexperts denken dat de gegevens al eerder zijn verzameld, tijdens een API-scrapingincident in 2022. Meta zelf zegt niets te weten van API-incidenten in zowel 2022 als 2024.
Los van het precieze jaartal is vooral zorgwekkend dat echte gebruikersgegevens worden gedeeld op het dark web. Met zoveel informatie kunnen cybercriminelen relatief overtuigende phishingmails sturen, waarmee ze proberen inloggegevens van Instagram buit te maken, of zelfs die van Facebook en WhatsApp.
Het advies blijft dan ook simpel: wees extra voorzichtig met emails die beweren van Meta of een van zijn diensten te komen en controleer belangrijke meldingen altijd rechtstreeks via de officiële websites.
