Instagram čelí podozreniu z masívneho úniku dát
V uplynulých dňoch sa medzi používateľmi Instagramu začali šíriť obavy z možného rozsiahleho úniku osobných údajov. Mnohí zaznamenali nevyžiadané e-maily s upozornením na resetovanie hesla, o ktoré sami nepožiadali. Práve tento jav spustil vlnu špekulácií o tom, že platforma patriaca spoločnosti Meta čelí vážnemu bezpečnostnému incidentu.
Podľa informácií zo Cyber Security News sa mali na internete objaviť dáta až 17,5 milióna instagramových účtov. Táto databáza mala obsahovať citlivé informácie používateľov a údajne ju ponúkali na predaj na dark webe alebo bola voľne šírená medzi kyberzločincami. Bezpečnostní analytici, vrátane spoločnosti Malwarebytes, upozornili, že uniknuté dáta zahŕňajú používateľské mená, celé mená, e-mailové adresy, telefónne čísla a v niektorých prípadoch aj približné informácie o polohe.
Takto vyzeral predmetný e-mail:
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Hoci databáza neobsahovala heslá, kombinácia týchto údajov je pre útočníkov mimoriadne cenná. Umožňuje im totiž cieliť phishingové kampane, vytvárať dôveryhodne pôsobiace podvodné správy alebo sa pokúšať o takzvané sociálne inžinierstvo. Práve preto odborníci varujú, že aj bez prístupu k heslám môže ísť o významné bezpečnostné riziko.
Spoločnosť Meta však tieto tvrdenia rázne odmietla. Podľa jej oficiálneho vyjadrenia nedošlo k žiadnemu prieniku do interných systémov Instagramu ani k úniku dát priamo z ich databáz. Firma uviedla, že identifikovala technickú chybu. Tá totiž umožňovala automatizované odosielanie e-mailov s výzvou na resetovanie hesla, čo mohlo vyvolať dojem masového útoku.
Milióny účtov a rozpory vo vyjadreniach
„Opravili sme technický problém, ktorý umožňoval spúšťať e-maily na reset hesla pre niektorých používateľov. Nezaznamenali sme žiadne narušenie bezpečnosti ani kompromitáciu účtov,“ uviedla Meta. Tento problém by mal byť teda už podľa všetkého odstránený. Podľa spoločnosti nejde o nový únik, ale o kombináciu technickej chyby a zneužívania verejne dostupných alebo starších dát. Problém, ktorý sa teraz rieši okolo Instagramu, sa netýka klasického hacknutia účtov alebo priameho vniknutia do ich vnútorných systémov, ale chyby v aplikácii a rozhraní API (Application Programming Interface).
API je technické rozhranie, cez ktoré aplikácie a služby medzi sebou komunikujú. V praxi to znamená, že Instagram umožňuje externým nástrojom a službám pristupovať k určitým údajom a funkciám platformy.
Chyba v tomto API umožnila, aby niekto hromadne spúšťal žiadosti o resetovanie hesla pre množstvo účtov bez toho, aby o to majitelia účtov požiadali. Instagram priznáva, že funkcia, ktorá má slúžiť na pomoc používateľom s obnovením hesla, bola zneužiteľná a technicky zraniteľná. Mohol ju teda atomatizovane „otvoriť“ naozaj ktokoľvek.
