Instagram2024年API数据泄露事件

admin
admin
admin
0
文章
0
评论
2026-01-12 01:14:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年初黑客利用InstagramAPI漏洞泄露1750万用户数据,含邮箱电话等敏感信息。此事件系大规模自动化刮取,已引发批量密码重置风险。攻击者利用接口缺陷绕过速率限制,可能导致钓鱼攻击、账户接管及身份盗用。Meta尚未回应但面临GDPR压力。建议用户启用双重认证,平台需完善API鉴权与反爬虫机制以应对风险。 综合评分: 86 文章分类: 数据泄露,漏洞预警,威胁情报,爬虫,网络安全

cover_image

Instagram 2024 年 API 数据泄露事件

原创

mayfly

独眼情报

2026年1月11日 12:14 湖北

2026年初,一则关于Instagram用户数据泄露的事件引发了全球范围的广泛关注。网络安全公司Malwarebytes在例行暗网监测中发现,一个名为「Solonik」的威胁行为者于2026年1月7日在知名黑客论坛BreachForums上免费发布了一个标题为「INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK」的数据集。该数据集声称包含了约1750万Instagram全球用户的个人信息,且数据采集时间可追溯至2024年晚期。尽管Instagram的母公司Meta尚未对此事件进行官方确认,但大量用户报告收到了异常的密码重置邮件,这与泄露数据被用于触发账户恢复机制的猜测相吻合。此次事件并非传统意义上的「黑客入侵」Meta服务器,而是更倾向于利用API漏洞进行大规模自动化刮取,其规模和潜在危害不容忽视。

事件背景与发现过程

此次数据泄露事件最早由Malwarebytes公司于2026年1月9日左右公开警示。该公司在暗网扫描中发现了一个结构化的数据集,其中包括JSON和TXT格式的文件,总记录数超过1700万条。发布者「Solonik」声称这些数据是通过2024年Instagram API的暴露漏洞进行大规模爬取获得的。与传统的服务器入侵不同,此次事件的特点在于攻击者利用公开或半公开的API接口,绕过平台的速率限制和隐私保护机制,批量提取用户的公开或半公开资料。这种爬取行为并非首次出现,例如在2024年11月,曾有黑客声称掌握了4.89亿Instagram用户数据。事件曝光后,许多用户反馈在短时间内收到了大量Instagram密码重置邮件,这正是攻击者利用泄露的邮箱地址批量触发重置功能的典型表现。

泄露数据内容

根据样本数据和Malwarebytes等机构的验证,此次泄露的信息主要包括:

  • 用户名(Username)
  • 邮箱地址(Email)
  • 电话号码(Phone Number,含国际区号)
  • 部分物理地址或位置信息(Partial Physical Address/Location)
  • 用户ID等元数据

值得注意的是,泄露数据并未发现身份证号码等高度敏感的身份证明信息。Instagram作为一个社交平台,通常不要求用户上传身份证件(特定广告主验证除外),因此此类信息不在常规收集范围内。部分传闻中提及的「身份证号码」可能源于误传或与其他泄露事件混淆。数据集覆盖全球用户,不集中于特定地区。

成因分析

此次泄露的核心在于API暴露与刮取漏洞,主要成因可归结为以下几点:

1.API 设计缺陷: Instagram提供多种API接口供第三方开发和功能扩展。如果某些接口缺乏严格的速率限制或身份验证机制,攻击者便可通过自动化脚本批量查询用户资料。

2.公开资料聚合: Instagram用户资料中,许多信息(如用户名、邮箱、电话)在特定场景下可被公开或通过关联查询获取。攻击者可能结合多个来源(如国家特定数据)进行聚合。

3.防护不足: 尽管Meta在隐私保护方面投入巨大,但刮取行为难以完全杜绝。类似事件反映出平台在反爬虫机制上持续面临挑战。这并非Meta首次遭遇此类问题。历史上,2019年曾有数百万Instagram用户的联系信息因数据库配置错误而暴露;2021年也发生过影响数百万账户的刮取事件。

潜在影响与风险

此次泄露的危害性在于数据「新鲜度」高且结构化,便于攻击者直接利用,可能引发以下风险:

  • 钓鱼与账户接管: 攻击者可针对泄露的邮箱或电话号码发送精准钓鱼邮件,或在触发密码重置后尝试弱密码或社工库攻击,进而接管用户账户。
  • 身份盗用与骚扰: 电话号码和地址信息可能被用于SIM卡劫持、骚扰电话或线下威胁,对用户造成现实生活中的困扰和安全隐患。
  • 连锁反应: 许多用户在不同平台复用相同的邮箱和密码。一旦Instagram账户失守,可能波及其他关联服务,导致更多账户被盗。
  • 全球影响: 1750万用户分布在全球各地,潜在受害者涵盖普通用户、网红、商家等,造成的经济损失难以估量。专家警告,此类泄露可能引发新一轮网络犯罪浪潮,包括身份盗窃和账户买卖。

Meta的回应与监管压力

截至2026年1月11日,Meta尚未发布官方声明确认此次泄露,仅在部分用户反馈中表示「账户安全无虞」。这与以往类似事件(如密码明文存储罚款)中的低调处理方式一致。然而,在欧盟GDPR等严格隐私法规的框架下,如果证实Meta在API防护上存在疏忽,可能面临巨额罚款。Meta此前已因儿童数据处理、密码存储等问题累计被罚数十亿欧元。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:独眼情报 mayfly《Instagram 2024 年 API 数据泄露事件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0