Újabb komoly adatvédelmi botrány árnyékolhatja be az Instagramot, miután egy jelentős szivárgás során állítólag 17,5 millió felhasználó személyes adatai kerültek ki az internet sötétebb bugyraiba. Az esetre a Malwarebytes hívta fel a figyelmet, amely egy rutinszerű dark webes vizsgálat során bukkant rá az adatcsomagra, amelyet egy "Solonik" néven ismert hacker töltött fel a BreachForums felületére 2026. január 7-én.
A biztonsági cég szerint a kiszivárgott állományok nagyméretű, rendezett JSON- és TXT-fájlokból állnak, és minden jel arra utal, hogy egy korábbi, akár 2024-re visszanyúló Instagram API-sebezhetőséget használtak ki. A rekordok mennyisége alapján messze nem elszigetelt incidensről van szó, hanem egy ipari léptékű adatgyűjtésről, amely felhasználók millióit érintheti világszerte.
A csomag tartalma önmagában is aggasztó. A beszámolók szerint Instagram-felhasználónevek, valódi nevek, e-mail-címek, nemzetközi telefonszámok, részleges lakcímadatok, felhasználói azonosítók és egyéb kapcsolattartási információk is szerepelnek benne. Bár jelszavak kiszivárgásáról nincs szó, az adatok kombinációja így is bőven elegendő lehet ahhoz, hogy a támadók célzott visszaéléseket indítsanak.
A Malwarebytes figyelmeztetése szerint a legnagyobb veszélyt a megszemélyesítés, az adathalász kampányok és a fiókeltérítési kísérletek jelentik. Különösen problémás lehet az Instagram jelszó-visszaállítási mechanizmusának kihasználása, hiszen az e-mail- és telefonszámadatok birtokában a támadók könnyen próbálkozhatnak hamis értesítésekkel, amelyekkel a gyanútlan felhasználókat csapdába csalják.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Egyelőre a Meta, az Instagram anyavállalata még nem erősítette meg hivatalosan az adatvédelmi incidenst, és nem derült ki az sem, hogy az érintetteket közvetlenül értesítik-e. Addig is érdemes fokozott óvatossággal kezelni minden olyan e-mailt vagy SMS-t, amely a Meta vagy az Instagram nevében érkezik, különösen, ha az fiókellenőrzésre vagy jelszócserére szólít fel.
A szakértők szerint most különösen fontos a kétlépcsős azonosítás bekapcsolása, lehetőleg hitelesítő alkalmazással, valamint egy erős, egyedi jelszó használata. A gyanús linkek kerülése és az egészséges bizalmatlanság jelenleg az egyik leghatékonyabb védekezés lehet egy olyan helyzetben, amikor még az sem világos, pontosan hogyan történhetett ekkora volumenű adatszivárgás.
