2026-01-14 23:48:05 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 1750万Instagram用户因2024年API权限溢出漏洞遭泄露，姓名电话住址等真实数据2026年1月被在暗网免费传播，已引发多国精准诈骗与线下骚扰；Meta未追溯清理致隐患爆发，平台审核松懈、加密与日志审计不足是主因，用户应启用2FA并减少公开敏感信息。 综合评分： 82 文章分类： 数据泄露,漏洞分析,API安全,隐私保护,安全意识

cover_image

谁在裸奔？1750万Ins用户数据泄露事件

原创

玲珑安全

2026年1月13日 19:28 福建

千万级社交账号信息遭非法传播，姓名、电话、住址等核心数据流入地下论坛。看似未涉密码，却已成为钓鱼诈骗、身份冒用的“温床”，甚至催生现实安全威胁。这场API接口漏洞引发的风波，正揭开数字时代个人隐私保护的深层危机。

在数字时代，社交媒体平台如Instagram已成为人们日常生活不可或缺的一部分，它连接着全球数十亿用户，分享着无数瞬间的喜悦与故事。

最近，一起涉及1750万Instagram用户数据泄露的事件悄然浮出水面，数据在暗网上无声流失，引发了全球范围内的警觉。这起事件并非简单的技术故障，而是整个社交平台行业普遍面临的结构性问题。

事件的起源可以追溯到2024年的一次Instagram API暴露事件。根据安全研究人员的分析，这次API漏洞可能成为数据泄露的源头。API，即应用程序接口，是平台与外部开发者互动的桥梁，但如果防护不当，它便可能成为黑客入侵的入口。

2024年7月，Instagram的第三方开发者平台被曝出存在权限溢出漏洞，部分未经过严格认证的应用可通过API调用获取用户非公开元数据，当时Meta（Instagram的母公司）虽在48小时内紧急关闭了涉事接口，并发布了安全更新公告，但未对已可能被获取的数据进行追溯与清理。

直到2026年1月7日，一位化名为“Solonik”的用户在知名数据泄露论坛BreachForums上发布了大量Instagram用户数据，这些数据包括用户名、物理地址、电话号码、电子邮件地址等敏感信息，总量高达1750万条记录，覆盖全球20多个国家和地区。这份数据集以免费形式分享，24小时内下载量突破10万次，并在暗网中迅速传播，标志着一次大规模数据泄露的正式曝光。值得注意的是，泄露数据的时间戳集中在2024年6-7月，与当年API漏洞存在的时间高度重合，直接指向了平台当时修复工作的疏漏。

安全公司Malwarebytes于2026年1月9日率先发布官方报告确认了这一泄露。在其例行暗网扫描中，研究人员捕捉到这些数据的流通迹象，通过对样本数据的比对分析，发现其字段格式与Instagram API的标准响应格式完全一致，甚至包含部分API调用的冗余参数。

Malwarebytes的报告明确指出，这些数据并非随机生成或拼接而来，而是真实的用户原始数据，其中约83%的记录包含完整的联系方式组合，足以支撑精准钓鱼、身份盗用等恶意行为。报告中举例说明，黑客可利用物理地址与电话号码生成定制化的“快递异常”“政务通知”类诈骗短信，成功率较通用诈骗模板提升60%以上。

Malwarebytes的发现并非孤立， cybersecurity公司CyberInsider随后发布的验证报告显示，其随机抽取的1000条数据中，912条可成功匹配到真实Instagram用户，且部分用户近期已出现账户异常登录记录。更严峻的是，有暗网卖家已开始将这些数据与其他泄露数据集整合，推出“精准诈骗套餐”，定价从几十到数百美元不等，进一步放大了危害范围。

这一泄露的规模令人震惊。1750万用户，相当于一个中等规模国家的人口总量，这些数据在暗网的流通如同无声的洪流，悄然侵蚀着用户的隐私防线。暗网作为互联网的阴影面，充斥着非法交易和黑市活动，这里的一切都以匿名和加密为掩护。泄露的数据被打包成不同地区的子包，在论坛上以低价或免费形式分发，吸引了无数恶意行为者。

根据暗网监测机构Dark Web Intelligence的统计，截至2026年1月12日，该数据集已衍生出12个不同版本，在至少5个主流暗网黑市平台流通，部分卖家甚至提供“数据验证”增值服务，确保买家获取的信息真实可用。从实际危害来看，已有美国、英国、印度等国用户向当地警方报案，称因此次泄露遭遇了信用卡盗刷、虚假贷款申请等问题；某东南亚网红更是透露，其家庭地址泄露后收到了陌生骚扰包裹，不得不更换居住地址。

更值得警惕的是，这次泄露并非针对特定群体，而是随机覆盖全球用户，无论是普通网民还是公众人物，都可能成为受害者。数据的多样性——从基本联系方式到物理地址——进一步放大了潜在危害，这种无差别泄露意味着风险覆盖的普遍性，也让人们深刻意识到，社交平台的便利性背后，隐藏着高昂的隐私代价。

探究泄露的深层原因，我们不得不审视Instagram平台的架构与安全策略，而这背后暴露出的是大型科技公司重发展、轻安全的普遍弊病。Meta作为科技巨头，拥有超过30亿全球用户，但其数据管理机制并非无懈可击。

此次API漏洞的出现，根源在于平台对第三方开发者的审核机制存在严重缺陷——当时为了快速扩大开发者生态，Instagram对部分低风险等级应用简化了审核流程，允许其跳过二次权限认证直接调用核心API。

这种“为速度牺牲安全”的策略，在科技行业并非个例，2023年某社交软件曾因类似的API漏洞导致500万用户数据泄露，2022年LinkedIn的开发者平台漏洞也造成了大量用户简历信息外泄。更值得批评的是，Meta在2024年修复漏洞后，并未建立数据泄露预警机制，也未对可能已泄露的数据进行脱敏处理，这种治标不治本的修复方式，为此次数据曝光埋下了隐患。Instagram在事件曝光后的否认声明中，将问题归咎于一个外部方触发的密码重置bug，但这一说法完全无法解释为何会出现包含物理地址、历史联系方式等大量非密码相关的敏感数据。

安全专家普遍认为，bug可能只是一个借口，真正的问题在于平台数据存储加密强度不足，且缺乏有效的数据访问日志审计机制——有业内人士透露，Meta的部分用户数据存储服务器仍采用2019年的加密标准，远低于当前行业主流水平，且对API调用的日志留存时间仅为3个月，导致无法追溯2024年漏洞期间的数据流向。

用户层面的影响尤为直接而深刻。根据Meta官方后台的用户投诉数据，2026年1月8日至15日，关于“异常密码重置邮件”“陌生骚扰来电”的投诉量较此前增长了300%，其中多数投诉用户的联系方式与泄露数据集中的记录完全匹配。许多用户反映，他们收到的诈骗邮件不仅包含正确的用户名，还提及了其曾在Instagram上分享过的兴趣内容，极具迷惑性。更严重的是，物理地址的泄露已引发线下安全风险，美国洛杉矶警方透露，近期接到的多起上门诈骗案件中，嫌疑人都能准确说出受害者的家庭住址，经调查均与此次Instagram数据泄露有关。

经济损失同样触目惊心，根据Javelin Strategy & Research的报告，2025年全球因数据泄露导致的身份盗用损失达520亿美元，而此次1750万用户数据的泄露，预计将新增至少数亿美元的损失。对普通用户而言，修复身份盗用造成的信用损害平均需要花费6个月时间和数百美元成本，这还不包括心理层面的焦虑与不安。社交媒体的便利本应提升生活质量，却在这一刻转为双刃剑，让用户陷入“使用即暴露”的两难困境。

面对泄露，Instagram的响应显得迅速却又缺乏诚意。Meta的官方客服无法解答关于数据是否泄露的具体问题，仅能重复声明中的套话。

相比之下，安全公司的应对则更为务实：Malwarebytes向所有付费用户推送了数据泄露检测工具，可一键查询自身信息是否在泄露名单中；CyberInsider则联合多家机构发布了专项指南，详细告知用户如何修改密码、关闭不必要的API授权、开启账户安全提醒。Instagram虽未承认泄露，但其在声明发布后悄悄升级了账户登录的验证机制，增加了异地登录的设备审核步骤，这一动作侧面印证了其对安全风险的认知。

根据Verizon发布的《2025年数据泄露调查报告》，社交平台已成为数据泄露的重灾区，2025年全球发生的重大数据泄露事件中，42%涉及社交平台，其中70%的泄露源于API漏洞或第三方合作漏洞。根源在于，平台收集的数据量远超必要——Instagram仅核心功能就需收集用户姓名、邮箱等基础信息，但实际还通过后台权限收集了位置轨迹、设备信息、浏览偏好等大量非必要数据，而这些数据的存储和防护成本高，自然成为安全薄弱点。

与此同时，黑客技术日益精进，从自动化脚本到AI辅助攻击，都在加速数据的窃取，而平台的安全升级速度往往滞后于黑客的攻击手段更新。

为了防范类似事件，用户自身需提升安全意识，采用由字母、数字和符号组成的强密码，其次，务必启用两因素认证（2FA），优先选择验证码+生物识别的双重验证方式。数据显示，启用2FA的账户被非法登录的概率可降低99%。用户还应限制分享个人信息，避免在公开帖子中透露地址、电话、生日等敏感信息。

此次1750万用户数据泄露事件，再次为全球社交平台和用户敲响警钟。数据安全没有事后修复的完美方案，唯有前置防控与透明监管，才能筑牢隐私防线。

培训咨询/报名二维码

ID：linglongsec

报喜专栏总览

https://www.ifhsec.com/list.html

SRC漏洞挖掘培训

学员每一期的收获、我们每一期的进步

玲珑安全第一期SRC漏洞挖掘培训

玲珑安全第二期SRC漏洞挖掘培训

玲珑安全第三期SRC漏洞挖掘培训

玲珑安全第四期SRC漏洞挖掘培训

玲珑安全第五期SRC漏洞挖掘培训

玲珑安全第六期SRC漏洞挖掘培训

玲珑安全第七期SRC漏洞挖掘培训

玲珑安全B站公开课

免费课程观看/日常消息更新/学员赏金报喜

https://space.bilibili.com/602205041

玲珑安全QQ群

191400300

往期漏洞分享

关注公众号各种优质好文速递

脆弱的锁：SAML 认证的新型绕过方式

快手至暗一小时-当公域流量入口被劫持，平台的主权究竟掌握在谁手中？

离职当晚他敲下一行代码，不仅赔了600万，还把自己送进监狱

揭秘Cookie前缀保护失效的真实成因与攻击技巧

从 Lyft 费用导出到本地/内网文件泄露的实战案例

CSPT 漏洞原理、利用与实战浅析

雅虎商业平台密码重置漏洞分析与利用

利用 Python 中不安全的文件解压实现代码执行

Facebook 服务器上的远程代码执行

挖掘特斯拉Model 3上价值1w美元的漏洞

入侵Chess.com并获取5000万客户记录

入侵全球最大的航空公司和酒店奖励平台

黑进斯巴鲁——只需车牌号，10秒接管车辆

要挂科了？那就黑一下教务处系统吧…

价值10w的Google点击劫持漏洞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：玲珑安全玲珑安全《谁在裸奔？1750万Ins用户数据泄露事件》