文章总结: 2026年1月暗网流出约1750万Instagram用户数据,含姓名、邮箱、电话及地址等敏感信息,因API漏洞被爬取而非数据库被黑。虽不含密码,但引发大规模密码重置轰炸、钓鱼及SIM劫持风险。Meta否认其为数据泄露事件,仅归咎于API滥用。用户需警惕钓鱼攻击,忽略非主动触发的重置邮件,并加强账户安全防护措施。 综合评分: 90 文章分类: 数据泄露,威胁情报,漏洞预警,社会工程学,安全意识
暗网大规模Instagram用户数据泄露
快看哪个胖子
开源情报技术研究院
2026年1月14日 01:42 北京
俺下载了这个1.3G的材料用时要一个来小时,打开也会有点问题,能判断的是可以下载。
2026年1月暗网出现了一起大规模Instagram用户数据泄露事件,涉及约1750万个账户的信息,目前已在多个黑客论坛和暗网交易平台流通。这是最新的、影响最大的Instagram相关泄露案例。
泄露基本情况
-
规模
:约1750万条记录(全球用户)
-
泄露时间点
:数据主要在2024年末通过Instagram的API漏洞/接口问题被系统性抓取(scraped),2026年1月初开始在暗网大规模传播
-
发布者/卖家
:暗网ID如“Subkek”、“Solonik”等人在Breach*Forums等论坛发布,有的免费散布,有的标价出售
-
数据格式
:主要为JSON和TXT文件,部分卖家提供样本查看
包含的主要信息字段(最常见组合)
- Instagram 用户名(username)
- 真实姓名 / 显示名称
- 电子邮箱地址(完整)
- 电话号码(国际格式,含区号)
- 部分物理地址 / 地理位置信息(尤其是商业账号、创作者账号更完整)
- 其他公开可见的个人资料字段(如简介、部分头像链接等)
重要:这次泄露不包含密码,也没有证据显示直接从Instagram数据库被黑。
当前主要风险与实际危害
-
大规模密码重置轰炸
很多人从2026年1月7-10日开始收到大量真实的Instagram密码重置邮件。这是因为黑客用泄露的邮箱疯狂触发“忘记密码”功能,制造混乱。
-
钓鱼 & 社会工程攻击
攻击者拿着你的邮箱+手机号+用户名,伪装成Instagram官方客服发钓鱼邮件/短信,诱导你点链接或提供验证码。
-
SIM swapping(手机号劫持)
邮箱+手机号组合是SIM swap攻击的完美前提,一旦手机号被控制,2FA短信验证码就失效。
-
跨平台凭证填充(credential stuffing)
如果你在其他平台(邮箱、银行、支付等)用相同的邮箱+弱密码,很容易被批量尝试登录。
-
精准诈骗 & 身份盗用
姓名+地址+电话+邮箱的组合,诈骗团伙特别喜欢用来冒充熟人、假客服、假投资等。
Meta/Instagram官方态度(截至2026年1月13日)
Meta至今没有正式承认这是“数据泄露”,而是称:
- 账户本身是安全的
- 密码没有被窃取
- 大量重置邮件是已知问题,已修复相关机制
- 用户可以忽略未请求的重置邮件
但安全公司(Malwarebytes等)认为这属于典型的大规模公开API滥用导致的隐私数据泄露,Meta的回应被批评为避重就轻。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:开源情报技术研究院 快看哪个胖子《暗网大规模Instagram用户数据泄露》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论