Un enorme set di dati contenente informazioni personali di circa 17 milioni di account Instagram è emerso nei forum di hacker, scatenando un’ondata di email per il reset delle password e sollevando interrogativi sul confine tra “scraping” dei dati e violazioni della sicurezza.
Il 7 gennaio 2026, un attore della minaccia con lo pseudonimo “Solonik” ha pubblicato un dataset intitolato “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” su BreachForums, un noto forum di hacking underground. La raccolta, formattata in file JSON e TXT, contiene nomi utente, nomi completi, indirizzi email (per circa 6,2 milioni di account), numeri di telefono, indirizzi parziali e dati di geolocalizzazione, ma notevolmente senza password.
La società di cybersecurity Malwarebytes ha scoperto la fuga di dati durante il monitoraggio di routine del dark web e ha allertato gli utenti il 9 gennaio. L’azienda ha avvertito che gli attaccanti stavano già sfruttando le informazioni per campagne di phishing e tentativi di takeover degli account, in particolare abusando del sistema di reset delle password di Instagram.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Instagram ha affrontato l’incidente l’11 gennaio tramite il suo account ufficiale X (ex Twitter): “Abbiamo risolto un problema che permetteva a terzi di richiedere email di reset della password per alcune persone. Non c’è stata alcuna violazione dei nostri sistemi e i vostri account Instagram sono sicuri. Potete ignorare quelle email — ci scusiamo per eventuali confusioni.”
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
Meta ha suggerito che i dati trapelati rappresentano informazioni vecchie ottenute tramite scraping, piuttosto che una nuova intrusione.
Il dibattito tra scraping e violazione
Gli esperti di sicurezza rimangono divisi su come classificare l’incidente. Mentre Meta insiste sul fatto che nessun sistema è stato violato, Malwarebytes lo ha categorizzato come una violazione dei dati, osservando che informazioni personali sensibili circolano liberamente nei forum del dark web e vengono attivamente sfruttate dai cybercriminali.
La distinzione ha meno importanza per gli utenti interessati rispetto alla realtà pratica: le loro informazioni personali sono ora accessibili ai malintenzionati, indipendentemente da come siano state ottenute. Alcuni esperti di cybersecurity suggeriscono che i dati possano provenire da un incidente di scraping API del 2022, anche se ciò non è confermato.
Quali dati sono stati esposti
Secondo diversi rapporti che hanno analizzato il dataset trapelato (non tutte queste informazioni sono presenti per ogni record):
- ID: 17.015.503
- Nome utente: 16.553.662
- Email: 6.233.162
- Numero di telefono: 3.494.383
- Nome: 12.418.006
- Indirizzo: 1.335.727
Criticamente: Nessuna password è stata inclusa nel leak.
Cosa fare ora
1. Verifica la tua esposizione
Visita Have I Been Pwned e cerca usando l’email o il numero di telefono collegati al tuo account Instagram.
2. Abilita l’autenticazione a due fattori
- Apri l’app Instagram > Impostazioni > Centro gestione account > Password e Sicurezza > Autenticazione a due fattori
- Scegli un’app di autenticazione (Google Authenticator, Authy) invece di SMS
- Il 2FA basato su SMS è vulnerabile ad attacchi di SIM-swapping
3. Aggiorna la tua password
- Vai su Impostazioni > Centro gestione account > Password e Sicurezza > Modifica Password
- Crea una password forte e unica (12+ caratteri, combinazione di lettere/numeri/simboli)
- Non riutilizzare mai le password su più piattaforme. Usa un gestore di password come Bitwarden o 1Password
4. Controlla l’attività di accesso
- Impostazioni > Centro gestione account > Password e Sicurezza > Dispositivi da cui hai effettuato l’accesso
- Controlla dispositivi o località non familiari
- Disconnetti immediatamente le sessioni sospette
5. Ignora email di reset non richieste
Elimina le richieste di reset della password che non hai avviato. Effettua eventuali modifiche dell’account direttamente tramite l’app Instagram, mai tramite link nelle email.
6. Rimani vigile contro il phishing
Le informazioni di contatto trapelate permettono tentativi di truffa altamente mirati. Sii sospettoso di:
- Email o DM che affermano di provenire da Instagram/Meta
- Richieste di codici di verifica
- Messaggi che fanno riferimento ai tuoi dati personali per apparire legittimi
7. Valuta il monitoraggio del credito
Se gli indirizzi parziali sono stati esposti, valuta di inserire un alert antifrode presso le agenzie di credito (Equifax, Experian, TransUnion).
Fatto rapido da considerare
Non è la prima esposizione di dati di Meta. L’azienda è stata multata per €265 milioni nel 2022 per un leak di dati Facebook del 2021 che ha coinvolto centinaia di milioni di utenti. L’incidente evidenzia le tensioni continue tra come le piattaforme definiscono le “violazioni” e come gli esperti di sicurezza valutano il rischio reale per gli utenti.
Meta sembra distinguere tra accessi non autorizzati ai sistemi e raccolta dati tramite funzionalità legittime ma abusate.
I professionisti della sicurezza si concentrano sul risultato: informazioni utente esposte ora circolano nei mercati criminali.
Lunedì-domenica: 5:00 - 20:00
Lascia un commento