Instagram: Μαζική αποστολή emails επαναφοράς κωδικών, ερωτήματα για διαρροή δεδομένων

Το Instagram βρέθηκε στο επίκεντρο τις τελευταίες ημέρες, μετά από κύμα emails επαναφοράς κωδικού πρόσβασης που έφτασαν σε χρήστες χωρίς οι ίδιοι να έχουν ξεκινήσει διαδικασία αλλαγής κωδικού. Το αποτέλεσμα ήταν σύγχυση, έντονη συζήτηση στα social media και εύλογες υποψίες για phishing ή για κάποιας μορφής διαρροή στοιχείων.

Η επίσημη θέση του Instagram

Με δημόσια τοποθέτηση στις 11 Ιανουαρίου, το Instagram ανέφερε ότι διόρθωσε ένα ζήτημα που επέτρεπε σε “external party” να ζητά αποστολή emails επαναφοράς κωδικού για ορισμένους χρήστες. Η εταιρεία υποστήριξε ότι δεν υπήρξε παραβίαση των συστημάτων της και ότι οι λογαριασμοί παραμένουν ασφαλείς, προτρέποντας τους χρήστες να αγνοήσουν τα emails αν δεν τα ζήτησαν.

Το κρίσιμο σημείο είναι ότι η εταιρεία δεν κατονόμασε το τρίτο μέρος, ούτε έδωσε τεχνικές λεπτομέρειες για το πώς ήταν δυνατό να ενεργοποιείται μαζικά η αποστολή των reset emails.

Οι αντικρουόμενοι ισχυρισμοί για “διαρροή 17,5 εκατομμυρίων”

Την ίδια περίοδο, η Malwarebytes ισχυρίστηκε ότι εντόπισε dataset που αποδίδεται σε 17,5 εκατομμύρια λογαριασμούς Instagram, το οποίο κυκλοφορεί σε περιβάλλοντα κυβερνοεγκλήματος. Σε ορισμένες αναφορές, το dataset περιγράφεται ως σύνολο στοιχείων (όπως usernames, emails, τηλέφωνα και metadata) που προσφέρονται ή διακινούνται σε forums.

Ωστόσο, άλλοι ερευνητές ασφαλείας και υπηρεσίες breach notification έχουν επισημάνει ότι το συγκεκριμένο dataset μοιάζει να είναι παλαιότερο και να προέρχεται από scraping, με το σημαντικό πρακτικό συμπέρασμα ότι δεν αφορά κωδικούς πρόσβασης. Σε αυτή την ανάγνωση, η χρονική σύμπτωση ανάμεσα στο “reset email flood” και στην ανακύκλωση ενός dataset μπορεί να λειτουργεί ως επιταχυντής πανικού, όχι απαραίτητα ως απόδειξη νέου breach.

Τι πιθανόν συνέβη, και γιατί έχει σημασία

Ακόμα και αν δεν υπήρξε παραβίαση λογαριασμών, η δυνατότητα μαζικής ενεργοποίησης password reset emails έχει πραγματικό operational κόστος. Δημιουργεί κόπωση και σύγχυση, άρα αυξάνει την πιθανότητα ένας χρήστης να πατήσει βιαστικά σε λάθος link, να δώσει στοιχεία σε phishing σελίδα ή να ακολουθήσει “οδηγίες” που δεν προέρχονται από το Instagram.

Με απλά λόγια, ο κίνδυνος εδώ είναι λιγότερο “κάποιος πήρε τον κωδικό σου”, και περισσότερο “κάποιος σε πιέζει να κάνεις λάθος κίνηση” μέσα σε περιβάλλον πανικού.

Τι πρέπει να κάνουν οι χρήστες

• Αγνοήστε reset emails που δεν ζητήσατε εσείς.
• Μην πατάτε links από email, μπείτε από την εφαρμογή Instagram ή πληκτρολογήστε χειροκίνητα το site.
• Αλλάξτε κωδικό από το app ή από το Accounts Center, αν ανησυχείτε, και χρησιμοποιήστε μοναδικό, ισχυρό password.
• Ενεργοποιήστε two-factor authentication (ιδανικά μέσω authenticator app).
• Ελέγξτε “Login activity”, συσκευές και sessions που είναι συνδεδεμένα στον λογαριασμό.
• Μείνετε σε αυξημένη επαγρύπνηση για phishing τις επόμενες εβδομάδες, ειδικά αν λάβετε emails που ζητούν “επιβεβαίωση” ή “επείγουσα” ενέργεια.

Ανεξάρτητα από το ποια εκδοχή θα αποδειχθεί πιο κοντά στην αλήθεια, το επεισόδιο δείχνει πόσο εύκολα μια κατάχρηση “νόμιμων” μηχανισμών ασφαλείας (όπως το password reset) μπορεί να μετατραπεί σε όπλο κοινωνικής μηχανικής.

Πηγές

• Instagram statement για τα password reset emails, X
• Instagram says there’s been ‘no breach’ despite password reset requests, TechCrunch
• Instagram says it fixed the issue that let someone send all those password reset emails, The Verge
• Instagram Confirms Password-Reset Spam Flood, Denies Breach, BankInfoSecurity
• Meta denies breach reports after users bombarded with reset emails, TechRadar