文章总结： 本文调查Solonik宣称的1700万Instagram数据泄露。经溯源证实，该数据实为2023年旧集，并非2024年新泄露。调查揭示了与历史账号及伊朗设施的联系，揭露了暗网数据重复流通趋势，强调数据血统验证在情报分析中的关键作用。 综合评分： 95 文章分类： 威胁情报,数据泄露,安全运营

调查 Solonik 所谓的 1700 万 Instagram 泄露

独眼情报

2026年1月26日 18:17 湖北

2026 年 1 月初，一名以 Solonik 为名的威胁行为体在暗网论坛和 Telegram 频道上开始受到关注，他宣称拥有一起与“2024 年 API 泄露”相关的大规模 Instagram 数据泄露。该数据集被宣传为包含 1700 万条 Instagram 用户记录，包括用户名、电子邮件、电话号码和内部 ID。鉴于 Instagram 的全球影响力和所宣称的规模，这次泄露迅速引起了买家和研究人员的兴趣。

乍一看，Solonik 似乎是一个迅速崛起的参与者。监测显示与其账号相关的活动出现了急剧上升，在短时间内发布了数十条泄露信息，并且几乎同时出现了多个分发渠道。Solonik 宣称的速度、数量和自信程度表明，要么其对新数据源有特权访问，要么这是一次为显得已站稳脚跟而进行的协调行动。

然而，随着调查的深入，矛盾开始浮出水面。虽然该数据集被宣传为新的，并与 2024–2026 年的泄漏时间窗口相关联，但早期迹象表明相同的数据样本多年前就已流通。这提出了这样一种可能性：“新”的 Instagram 泄漏并非一次新的侵害，而是被重新包装并以不同叙述重新引入的回收数据集。

本报告记录了追踪该数据集在论坛、Telegram 频道和域名之间的起源、流动和重命名，最终质疑 Solonik 的说法，并强调在虚假时间线下泄露数据重复流通的日益增长趋势。

事件触发与初步调查

调查始于 Solonik 在黑暗论坛上发布名为 “INSTAGRAM.COM 17M USERS — 2024 API LEAK (USERNAMES, EMAILS, PHONES, IDS)” 的主题帖。

• https://darkforums.**/Thread-INSTAGRAM-COM-17M**Solonik-**

为了评估该行为者的可信度和规模，通过泄露监控模块查询了标识符 Solonik。结果显示，在 2026 年 1 月 7 日到 2026 年 1 月 20 日期间，Solonik 与大约 105 个不同受害者相关，这些受害者涵盖从社交媒体数据集到地区性机构记录等各类数据。这种活动水平表明其要么是高度活跃的转售者，要么是一个协调运作的组织。

最早的相互印证信号之一来自 Solonik 在 Telegram 的存在。使用Telegram 跟踪工具，发现该频道 https://t.me/solonik_***s 是一个面向公众的担保和交易频道。随后，又发现了一个需邀请才能加入的 Telegram 群组，地址为 https://t.me/+iS5*****k，截图显示买家在协商价格、确认加密货币交易并接收 CSV 数据库文件。

值得注意的是，该 Telegram 基础设施按照 CVE-2025-14847 和 CVE-2026-21858 索引，将 Solonik 的生态系统与先前标记的恶意分发活动联系起来。此关联证明该行为者并非孤立运作，且已与已知高风险的 Telegram 群集产生交集。

基础设施扩展与“BAPHOMET” 引用

对 Solonik 的在线足迹进一步调查显示了域名 **solonik.**，该域通过查询。结果具有重要意义：结果索引了 999+ 个泄露文件 与该域名相关，许多文件被标注为与 Instagram 相关的文件名，例如 Instagram@Solonik_BF.json。

在这些结果中，第二起与 Instagram 相关的数据泄露于 2026 年 1 月 14 日浮出水面，该泄露与一个在 BreachForums 上宣传的帖子有关，标题为 45K 韩国医院患者与系统记录 。在该帖中 Solonik 的论坛个人简介里，他加入了短语 “被 BAPHOMET 眷顾。****”

这一短语引发了更深入的调查。通过对 Telegram 的跟踪， 发现了一段在 Solonik 的某个频道中流传的视频，视频中他屏录了一次在 BreachForums 的互动。在视频里，一个被标识为 BAPHOMET 的用户感谢 Solonik 先前披露了论坛结构中的一个 SQL 漏洞，具体提到了 my tabs 列。

该视频还展示了 BAPHOMET 在 BreachForums 的资料，显示该账户被永久封禁，但历史上颇具影响力。该消息声称 Solonik 年前曾“拯救”该论坛免于一次泄露，并将他们的互动表述为合法性和内幕地位的证明。尽管该说法本身无法独立证实，但其被包含其中作为一种向潜在买家发出的信誉信号。

这是一个关键的转折点。叙事不再仅仅关于一个数据集，而是关于血统、声誉以及在泄露生态系统中所暗含的权威。

数据血统分析：追溯 Instagram 数据集的来源

为了验证 Solonik 所称的 Instagram 数据源自 2024 年的一次 API 泄露，对该数据集本身进行了审查。使用Telegram 追踪器，检索了关键词 “Instagram Leak 17M Lines ⭐ ️” 在历史 Telegram 消息中的出现情况。结果浮现出一条日期为 2023-11-28 的转发消息，来源于频道 The Jacuzzi。

该转发消息直接指向了 LeakBase 上由名为 Chucky 的用户在 2023 年 3 月发布的一个主题。LeakBase 的快照显示线程标题为 “Json No Pass Cloud Instagram Leak 17M Lines”，示例 JSON 条目包含用户名、电子邮件、电话号码和 ID，其结构与 Solonik 在 2026 年宣传的示例完全相同。

• https://leakbase.la/threads/instagram-leak-17*******/

进一步比较确认，原始数据字段、顺序和示例值与 2023 年 LeakBase 的帖子以及 Solonik 在 2026 年提供的内容相匹配。没有新的列、时间戳或指示表明该数据集已被刷新或扩展。

同一数据集在 2024 年再次出现在 Hydra 论坛，由管理员 Pavlov 以标题 “Instagram Leak 17M Lines ⭐️” 发布：

• https://hydraforums.io/Threads-***************8F

Hydra Forums 的快照显示了相同的 JSON 样本，证实这些数据至少在三年内未被更改地传播。

这些发现直接与 Solonik 将此次泄露描述为“2024 年 API 泄露”的说法相矛盾，并强烈表明这是数据集的再利用而非新的入侵。

Chucky、Chucky_lucky 与身份重叠

Solonik 后来在 Telegram 消息中声称，他之前在 BreachForums 的账号 “Chucky_lucky，” 被一位名为 L***i 的版主封禁。为评估此说法，Chucky_lucky* 在泄露监测模块中被查询。结果显示五名受害者 ，其中包括一家 2023 年的全球珠宝品牌泄露** 。

这一活动在时间上与最初由 Chucky 发布的 LeakBase Instagram 帖子相一致，强化了 Chucky、Chucky_lucky 和 Solonik 可能有关联的假设。其他电报频道进一步印证了这一模式，包括 https://t.me/chucky***f 和 https://t.me/chucky_*****a，这些频道中的截图显示 Chucky 被列为与 BreachForums 相符的论坛中的“最富有用户”之一。

这些重叠不能确凿证明共同所有权，但它们展示了数据集、平台和货币化策略的延续性。多年来相同的 Instagram 数据以不同别名反复出现，表明这是刻意的品牌重塑，而非独立的重新发现。

电报归属与伊朗基础设施

调查进一步扩大到对该电报频道的分析：https://t.me/solonik***t。识别出一名用户 Solonik BF。从该频道提取出一个电话号码：**+98 9*****8**。尽管电报上的用户名很容易更改，用户 ID 却是持久的，这使得该标识符在进一步分析中尤为有价值。

国家代码 +98 表示伊朗。当通过 Darkweb Tracker 查询该号码时，它出现在名为 Iran_Telegram.json 的文件中，该文件属于先前泄露的伊朗 Telegram 数据集的一部分。这并不能确认 Solonik 的实际所在地，但它在他的 Telegram 活动与已知泄露数据存储库之间提供了罕见的基础设施关联。

该文件是更大一批泄露的伊朗 Telegram 用户数据的一部分，包含将电话号码与 Telegram 用户名和内部用户 ID 关联的结构化记录。在该数据集中，该号码明确关联到用户名 Sa***n，再次与 *user ID 46***7 相连，确凿地将伊朗 Telegram 泄露数据与现在以 @Solonik***F** 运营的同一账户联系起来。

对该 Telegram 用户 ID 的历史分析提供了额外的背景。当用户 ID *4*****7 在Telegram 跟踪器中被追溯时，发现与相同标识符相关的早期活动。最早可追溯到 2022 年 10 月 的记录显示该账户使用用户名 @Sa***n，显示名称记录为 S** / T***t**。这证实与 Solonik 关联的身份比 2026 年的 Instagram 泄露声明早了好几年，表明这是长期存在的 Telegram 身份，而非新近创建的角色。

对历史 Telegram 数据的进一步审查表明，根据历史索引，该账户最早在 2020 年 10 月 就已活跃。该时间线将该操作者的活动时间置于随后在 2023 年、2024 年和 2026 年传播的 Instagram 数据集出现之前。即便对外显示的身份随时间演变，相同用户 ID 在多个用户名间的持续存在也强化了对该账户控制权的连续性。

当追踪该 Telegram 身份在群组互动中的表现时，出现了额外的上下文信号。 在一个波斯语 Telegram 群组中引用了相同的用户 ID，群组名为 Tavern Club，可通过 https://t.me/g*****b 访问。 尽管参与此类群组本身并不能单独证实归属， 但它进一步将该账户置于一个伊朗语的 Telegram 生态系统中 。

综合这些发现，加强了 Solonik 在 Telegram 上的存在与与伊朗相关的 Telegram 数据暴露之间的基础设施联系。在多个用户名间重复使用相同的 Telegram 用户 ID、该 ID 出现在泄露的伊朗 Telegram 数据集中，以及其在地区性对齐的 Telegram 群组中的互动，均表明这是操作上的延续而非巧合。这种基础设施层面的重叠并不能将 Solonik 确定归属于某个特定个人或地点，但它提供了一个一致且可追溯的框架，与在整个调查过程中观察到的其他要素相吻合。

结论

调查显示，Solonik 在 2026 年 1 月宣传的 Instagram “1700 万用户”数据集并非新近泄露。通过历史索引和跨平台追踪，这些数据至少可以追溯到 2023 年 3 月 ，并在 2023 年（LeakBase） 和 2024 年（Hydra Forums） 有确认证据出现，随后在 2026 年 再次浮出水面。

Instagram 已公开否认在 2026 年发生任何数据泄露，进一步削弱了 Solonik 的主张。尽管 Solonik 成功利用数量、展示方式和信誉信号吸引买家，但底层数据展现的是循环再利用而非新的安全破坏。

无法确定 Solonik 是否与 Chucky 或 Chucky_lucky 为同一人。然而，数据集的连续性、所用平台、Telegram 基础设施以及货币化模式强烈表明要么存在直接身份重叠，要么运营上高度一致。

编者按

在暗网调查中，归因很少是绝对的。行为者会重新使用数据、身份片段，并有意模糊叙事。本文强调了旧泄露如何轻易被重新包装为新事件，以及纵向可见性在澄清这些主张中的关键作用。通过关联历史泄露、Telegram 活动和基础设施信号，使人们更清楚地理解哪些是真正新的、哪些是重复使用的，以及哪些仍存在不确定性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 《调查 Solonik 所谓的 1700 万 Instagram 泄露》