Instagram, 17,5 milyon kullanıcının e-posta hesapları, parolaları ve telefon numaralarının sızdırıldığına ilişkin iddiaları reddetti.
Geçen hafta, popüler VPN üreticisi NordVPN, kullanıcı verilerinin ihlal edildiğine dair raporların internete yayılmasının ardından, görünürde neyin ters gittiğini açıkladı.
Bundan bir haftadan kısa süre sonra, en çok kullanılan sosyal medya uygulamalarından biri olan Instagram’ın da benzer bir kaderi paylaştığı iddia edildi. Siber güvenlik ve anti-kötü amaçlı yazılım şirketi Malwarebytes, 9 Ocak’ta, siber suçluların 17,5 milyon Instagram hesabına ait hassas bilgileri ele geçirdiğini öne sürerek alarm zillerini çaldı. Şirket, sızdırılan kullanıcı verilerinin kullanıcı adları, fiziksel adresler, telefon numaraları, e-posta adresleri ve daha fazlasını içerdiğini belirtti ve bu verilerin halihazırda dark web’de satışa sunulduğu iddiasında bulundu.
Malwarebytes, resmi Bluesky hesabından şu ifadeleri paylaştı:
“Siber suçlular, kullanıcı adları, fiziksel adresler, telefon numaraları, e-posta adresleri ve daha fazlası dahil olmak üzere 17,5 milyon Instagram hesabına ait hassas bilgileri çaldı. … Bu veriler dark web’de satışa sunulmuş durumda ve siber suçlular tarafından kötüye kullanılabilir.”
İddialar, bu sözde veri sızıntısından etkilenen kullanıcılara resmi Instagram destek kanallarından parola sıfırlama ve kurtarma e-postalarının gönderilmesiyle gündeme geldi. Beklendiği üzere, Malwarebytes’ın olayın 17,5 milyon kullanıcıyı etkilediğini söylemesi, hadisenin ölçeğine dair soru işaretleri yarattı.
Bunun ardından, bir gün sonra Instagram raporlara yanıt vererek sorunu giderdiğini açıkladı. Meta, farklı sosyal medya hesapları üzerinden kullanıcılara, harici bir tarafın kullanıcılar adına parola sıfırlama e-postası talep etmesine olanak tanıyan problemin çözüldüğünü bildirdi. Açıklamada şu ifadelere yer verildi:
“Bazı kişiler için harici bir tarafın parola sıfırlama e-postası talep etmesine izin veren bir sorunu düzelttik. Sistemlerimizde herhangi bir ihlal olmadı ve Instagram hesaplarınız güvende. … Bu e-postaları görmezden gelebilirsiniz …”
Dikkat çekici biçimde, Instagram’ın konuya yaklaşımı oldukça farklıydı; zira şirket hatanın yalnızca “bazı kullanıcıları” etkilediğini belirtti. Bu ifade, Malwarebytes’ın olayı çerçeveleyişiyle keskin bir tezat oluşturdu.
Bugün erken saatlerde, ihlal bildirim hizmeti Have I Been Pwned (HIBP), durumu netleştirmeye yardımcı olan kendi duyurusunu yayımladı. Instagram bu olayda kullanıcı verilerinin sızdırıldığını reddettiği için, HIBP, Malwarebytes’ın daha önce bahsettiği 17,5 milyon kullanıcıya ait veri ihlalinin, iki olay örtüşüyor ve aynı döneme denk geliyor gibi görünse bile, ayrı bir hadise olduğuna inanıyor.
Merak edenler için, yakın zamanda “Solonik” takma adını kullanan bir tehdit aktörü, yaklaşık 17,5 milyon kullanıcı kaydının ele geçirildiği iddia edilen bir veri setini JSON ve TXT dosyaları formatında sızdırdı. Veri seti “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” başlığını taşıyor ve adından da anlaşılacağı üzere, bilgilerin 2024’ün sonlarında bir Instagram API açığının kazınması yoluyla toplandığı öne sürülüyor.
Bu nedenle, Instagram ilk açıklamasının ötesinde ek önlemler duyurmadığı için, sürecin nasıl şekilleneceği belirsizliğini koruyor.
İlk yorum yapan olun