近日,安全机构Malwarebytes发布警示,称在暗网监控中发现近1750万Ins用户的个人数据遭到泄露。本次泄露并非由服务器被入侵导致,而是攻击者利用2024年末可能未受保护的API接口,系统性抓取了平台公开信息。
泄露数据包括用户的全名、电子邮件地址、电话号码及位置信息,但密码并未包含在内。尽管密码未外泄,已有多名用户报告收到频繁的密码重置通知邮件,这表明攻击者正在滥用平台安全机制制造混乱,试图通过钓鱼或诈骗手段进一步获取用户登录凭证。
安全专家强调,电子邮件与电话号码同时泄露的情况,将大幅增加“SIM卡交换攻击” 的风险。攻击者可借此控制用户手机号码,进而拦截双重验证(2FA)短信,严重威胁账户安全。
截至目前,Ins母公司Meta尚未就此事发布任何官方声明,也未说明数据泄露的具体原因,亦未提及是否会通知受影响用户。安全人员建议用户提高警惕,谨慎处理可疑邮件与短信,并启用更安全的身份验证方式。
0
