文章总结： 约1750万Instagram用户数据泄露，包含姓名、电话及住址，源于API滥用或数据拼凑，已在暗网售卖。官方否认系统被黑。数据关联实体地址引发现实骚扰风险。建议勿点重置邮件，仅用应用内修改密码，开启应用端双因素认证并清理第三方权限。 综合评分： 86 文章分类： 数据泄露,安全大事件,漏洞预警

人肉利器？1750万名Instagram用户的姓名电话住址泄露

安全内参编译

安全内参

2026年1月12日 17:40 北京

关注我们

带你读懂网络安全

Instagram官方否认了数据泄露，称修复了同期造成恐慌的密码重置邮件滥用漏洞；

这批数据目前还难以判断来源，有称是攻击者2024年滥用官方API窃取，长期在地下论坛传播，还有称数据系与外部数据拼凑而成。

前情回顾·数据泄露狂潮

• 音乐流媒体巨头遭网络攻击，近三千万用户数据泄露
• 因电商巨头被黑，韩国近七成民众数据泄露
• ChatGPT开发者数据泄露，但是OpenAI说没被黑
• SaaS安全大崩盘！又一起重大攻击，超200家大中型企业数据泄露

安全内参1月12日消息，安全厂商Malwarebytes Labs的研究人员警告称，一起重大的数据泄露事件导致约1750万名Instagram用户的个人数据被暴露。泄露的数据包括用户名、实体住址、电话号码以及电子邮件地址。

图：Malwarebytes Labs研究人员发布警告

自1月10日以来，已有100万名用户收到了密码重置邮件，由此引发了混乱，并激起了人们对全球性网络攻击的担忧。安全专家指出，这是一起具有现实风险的严重隐私泄露事件，相关数据可能已经在暗网上流通。

Instagram官方推特账号在11日回应称，刚刚修复了一个允许外部人员为部分用户请求密码重置邮件的问题，系统未遭到入侵。

地下论坛售卖Instagram人肉数据库

研究人员发现，一个包含敏感信息的数据库正在某网络犯罪论坛上出售，售卖者声称这是一个影响近1800万名Instagram用户的“人肉搜索工具包”。与以往的数据抓取事件不同，此次泄露的数据包含了与Instagram用户ID直接关联的实体家庭住址。

被盗数据很可能并非仅来源于Instagram个人资料。攻击者可能将Instagram用户ID与来自外部数据库的数据进行整合，例如营销名单、数据经纪商、电商平台或已泄露的客户记录，从而实现将用户名与真实姓名及家庭住址相匹配。

由于线上身份被直接关联到实体地址，其威胁已不再局限于垃圾信息或账号接管。这种情况使跟踪骚扰、恶意报警、勒索以及身份盗用成为可能，将一次数字隐私泄露升级为潜在的现实世界安全风险。

图：据称在2024年已遭到泄露，攻击者声称利用官方API窃取

The Cybersec Guru网站报道称：“这些数据并非只是被搁置。报告显示，这个包含1750万条记录的数据库中，部分数据正在非法市场上被拍卖。”并补充道：“据称，这些数据以按地区和粉丝数量划分的‘批次’形式出售，使网红以及高知名度的商业账号成为主要攻击目标。”

图：2026年1月在地下论坛传播

研究人员建议Instagram用户立即采取行动，并假设自身信息可能已经暴露。应避免点击密码重置邮件，仅通过应用内功能重置密码，并使用Instagram官方电子邮件日志核验邮件来源，以识别钓鱼攻击。同时，启用基于应用的双因素认证，并尽量避免使用基于短信的双因素认证（2FA）。最后，检查并移除未知或未使用的第三方应用权限，因为这些权限可能与本次泄露事件存在关联。

参考资料：securityaffairs.com

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译《人肉利器？1750万名Instagram用户的姓名电话住址泄露》