Dünya genelinde yaklaşık 17,5 milyon Instagram kullanıcısının kişisel bilgilerini kapsadığı öne sürülen büyük çaplı bir veri sızıntısı iddiası gündeme geldi. Güvenlik şirketi Malwarebytes, Instagram’da milyonlarca hesabı etkileyen ciddi bir veri ihlalinin tespit edildiğini açıkladı. Söz konusu verilerin karanlık ağ forumlarında dolaşıma sokulduğu belirtildi.
Siber güvenlik uzmanları tarafından doğrulanan iddiaya göre, ele geçirilen veriler kullanıcıları kimlik hırsızlığı ve hedefli oltalama (phishing) saldırılarına açık hale getirebilecek nitelikte. Paylaşılan veri setinin, bu haftanın başlarında “Solonik” takma adını kullanan bir kişi tarafından bir bilgisayar korsanı forumunda yayımlandığı ifade edildi.
“INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” başlığıyla paylaşılan ilanda, JSON ve TXT formatlarında toplam 17,5 milyon kayıt bulunduğu öne sürüldü. Verilerin, 2024 yılının sonlarında yaşandığı iddia edilen bir “API sızıntısı” sonucunda elde edildiği aktarıldı.
İddiaya göre saldırganlar, veri kazıma (scraping) yöntemiyle dünya genelindeki kullanıcı profillerini toplayarak standart güvenlik önlemlerini aşmayı başardı. Sızdırıldığı belirtilen veri tabanında kullanıcı adlarının yanı sıra tam isimler, doğrulanmış e-posta adresleri, telefon numaraları, kullanıcı kimlik numaraları ile ülke ve kısmi konum bilgilerinin yer aldığı ileri sürüldü.
Uzmanlar, şifrelerin yer almamasına rağmen e-posta ve telefon numaralarının birlikte bulunmasının SIM kart değişimi saldırıları ve gelişmiş sosyal mühendislik yöntemleri için yeterli olduğunu vurguladı. Son günlerde birçok kullanıcının şifre sıfırlama bildirimlerinde artış yaşandığını bildirmesi, endişeleri daha da artırdı.
Yaşanan durumun, Instagram’ın ana sunucularına doğrudan bir sızma değil, halka açık arayüzler üzerinden yapılan otomatik veri toplama işlemi olduğu ifade edildi. Ancak API kullanımındaki hız sınırlaması veya gizlilik korumalarında olası bir eksikliğin, milyonlarca hesabın tespit edilmeden sorgulanmasına imkân tanıdığı öne sürüldü.
Meta'dan iddialara ilişkin net yanıt
İddiaların sosyal medyada hızla yayılmasının ardından Meta cephesinden açıklama geldi. Instagram, sistemlerinde herhangi bir güvenlik ihlali yaşanmadığını ve kullanıcı hesaplarının güvende olduğunu duyurdu. Yapılan açıklamada, “Bazı kullanıcılar için üçüncü bir tarafın şifre sıfırlama e-postası talep edebilmesine yol açan bir sorunu giderdik. Sistemlerimizde herhangi bir güvenlik ihlali yaşanmadı. Bu e-postaları dikkate almayabilirsiniz” ifadelerine yer verildi.