Quello che devi sapere immediatamente
Se usi Instagram, è importante che tu sappia questo: 17,5 milioni di account Instagram sono stati compromessi in una massiccia violazione dei dati scoperta a gennaio 2026. Le informazioni personali esposte includono nomi utente, indirizzi email, numeri di telefono e indirizzi parziali.
La buona notizia? Le password non sono state rubate. La cattiva notizia? I dati esposti sono sufficienti per attacchi di phishing sofisticati e furti di identità.
Azione immediata consigliata: Se ricevi email di reset della password da Instagram che non hai richiesto, non cliccare il link. Accedi direttamente all’app e cambia la password manualmente. Abilita l’autenticazione a due fattori usando un’app di autenticazione, non SMS.
Come è successo il leak
Secondo i rapporti di Malwarebytes, una società di cybersicurezza, il leak è stato originato da una vulnerabilità nell’API di Instagram risalente al 2024. Un attore minaccioso che opera sotto lo pseudonimo “Solonik” ha pubblicato il dataset contenente 17,5 milioni di record il 7 gennaio 2026 su BreachForums, un forum online dove i criminali informatici condividono e vendono dati rubati.
I dati sono stati raccolti attraverso “scraping” automatico—il recupero di informazioni tramite interfacce pubbliche—piuttosto che attraverso un’intrusione diretta nei server principali di Instagram. Tuttavia, la scala del leak suggerisce un fallimento nei meccanismi di rate-limiting o nelle salvaguardie della privacy che avrebbero dovuto rilevare e bloccare questa attività.
Quali informazioni sono state esposte
Il dataset compromesso contiene:
– Nomi utente e nomi completi
– Indirizzi email verificati
– Numeri di telefono internazionali
– ID utente
– Dati sulla posizione parziale e paese di residenza
I dati sono disponibili in formato JSON e TXT, il che significa che sono facilmente utilizzabili dai criminali informatici per attacchi automatizzati e su larga scala.
Perché questo è pericoloso
Sebbene le password non siano incluse nel leak, la combinazione di email e numeri di telefono è estremamente pericolosa. I criminali possono utilizzare queste informazioni per:
– Attacchi di phishing: Email false che sembrano provenire da Instagram per indurre gli utenti a rivelare le loro credenziali
– SIM swapping: Utilizzare il numero di telefono per assumere il controllo dell’account
– Social engineering: Utilizzare i dettagli personali esposti per stabilire fiducia e ingannare gli utenti
– Furto di identità: Utilizzare le informazioni personali per frodi finanziarie
I dati esposti stanno già circolando nel dark web e possono essere acquistati o scaricati gratuitamente da criminali in tutto il mondo.
Cosa sta succedendo con le email di reset della password
Molti utenti di Instagram hanno segnalato di aver ricevuto un numero inusuale di email di reset della password che non hanno richiesto. Questo è direttamente collegato al leak. I criminali stanno utilizzando i dati esposti per inviare email di phishing che sembrano legittime.
L’email tipica include un pulsante “Reimposta password” e un messaggio che dice: “Se ignori questo messaggio, la tua password non verrà modificata. Se non hai richiesto un reset della password, faccelo sapere.”
Questi messaggi sono progettati per creare panico e indurre gli utenti a cliccare il link. Non farlo. Se non hai richiesto un reset della password, ignora l’email.
Come proteggere il tuo account
Passaggio 1: Cambia la tua password manualmente
Non cliccare su nessun link di reset della password ricevuto via email. Invece:
- Apri l’app Instagram
- Vai alle impostazioni del tuo profilo
- Seleziona “Password e sicurezza”
- Cambia la tua password manualmente
- Usa una password forte e unica che non hai mai usato prima
Passaggio 2: Abilita l’autenticazione a due fattori
Questo aggiunge un livello extra di sicurezza:
- Vai a “Password e sicurezza” nelle impostazioni
- Abilita “Autenticazione a due fattori”
- Importante: Usa un’app di autenticazione (come Google Authenticator o Authy) invece di SMS, poiché i numeri di telefono sono stati compromessi
Passaggio 3: Verifica le email inviate da Instagram
Puoi controllare quali email Instagram ha effettivamente inviato:
- Apri Instagram
- Vai al tuo profilo e tocca l’icona del menu (tre linee) in alto a destra
- Seleziona “Accounts Center”
- Vai a “Password e sicurezza”
- Tocca “Email recenti”
- Esamina l’elenco delle email che Instagram ha effettivamente inviato
- Se l’email sospetta che hai ricevuto non è in questo elenco, è un tentativo di phishing e dovrebbe essere ignorato o eliminato
Passaggio 4: Monitora l’attività dell’account
Resta vigile sui seguenti segnali di allarme:
– Accessi da dispositivi o posizioni che non riconosci
– Modifiche al tuo indirizzo email registrato
– Modifiche al tuo numero di telefono
– Attività di follow o unfollow che non hai fatto
Cosa ha detto Instagram
A gennaio 2026, Meta (la società madre di Instagram) ha negato che ci sia stata una violazione dei dati. In un post su X (precedentemente Twitter), Instagram ha dichiarato: “Abbiamo risolto un problema che permetteva a una parte esterna di richiedere email di reset della password per alcune persone. Non c’è stata una violazione dei nostri sistemi e i tuoi account Instagram sono sicuri.”
Tuttavia, i ricercatori di cybersicurezza e Malwarebytes continuano a sottolineare che i dati sono effettivamente circolanti nel dark web e rappresentano un rischio reale per gli utenti.
Technical Deep Dive
Natura tecnica del leak
Il leak è classificato come “API scraping” piuttosto che come un’intrusione diretta. Ciò significa che un attore minaccioso ha sfruttato un’interfaccia pubblica di Instagram (presumibilmente gli endpoint dell’API) per estrarre dati di profilo su larga scala. La vulnerabilità risale al 2024, ma i dati sono stati pubblicati solo a gennaio 2026, suggerendo un periodo di latenza tra lo sfruttamento e la divulgazione pubblica.
Meccanismi di attacco avanzati
SIM Swapping: Con i numeri di telefono esposti, gli attaccanti possono contattare i provider di servizi mobili e richiedere il trasferimento del numero a una nuova SIM card. Una volta ottenuto il controllo del numero di telefono, possono:
– Ricevere codici di verifica 2FA inviati via SMS
– Reimpostare le password dell’account
– Accedere a servizi bancari collegati al numero
Social Engineering avanzato: I dettagli personali esposti (nomi completi, paesi, indirizzi parziali) permettono agli attaccanti di personalizzare i tentativi di phishing, aumentando significativamente i tassi di successo rispetto agli attacchi generici.
Raccomandazioni di sicurezza per utenti tecnici
- Autenticazione multi-fattore non basata su SMS: Usa TOTP (Time-based One-Time Password) tramite app come Google Authenticator, Microsoft Authenticator, o Authy. Evita completamente l’autenticazione via SMS.
- Monitoraggio del dark web: Considera l’uso di servizi di monitoraggio del dark web per controllare se le tue informazioni personali vengono vendute o condivise.
- Analisi dei log di accesso: Esamina regolarmente i log di accesso del tuo account in Meta’s Accounts Center per rilevare attività non autorizzate.
- Isolamento dei dispositivi: Se sospetti un compromesso, considera di accedere al tuo account solo da dispositivi puliti e isolati.
- Gestione delle password: Usa un gestore di password per garantire che ogni account abbia una password unica e complessa. Se il tuo account Instagram è stato compromesso, cambia anche le password per tutti gli altri account che utilizzano lo stesso indirizzo email.
- Monitoraggio del credito: Dato che sono stati esposti indirizzi e numeri di telefono, monitora i tuoi rapporti di credito per rilevare tentativi di furto di identità.
Implicazioni sulla sicurezza dell’API
Questa violazione evidenzia un problema critico nella sicurezza dell’API di Instagram: la mancanza di rate-limiting adeguato o di protezione contro lo scraping automatico. Un’API ben protetta dovrebbe includere:
– Rate-limiting per prevenire query massive da un singolo indirizzo IP
– Detección di pattern di scraping
– Autenticazione e autorizzazione granulari
– Registrazione e monitoraggio di accessi insoliti
La scala del leak (17,5 milioni di record) suggerisce che nessuno di questi meccanismi era efficace.
Fonte: https://www.makeuseof.com/instagram-data-leak-allegedly-exposed-175-million-accounts/
