Un'improvvisa ondata di notifiche per il ripristino delle credenziali di accesso nei giorni scorsi ha travolto 17,5 milioni di utenti Instagram. Le e-mail in questione non facevano parte di un tentativo di phishing (ovvero l'invio di e-mail contraffatte per rubare dati). Si trattava, infatti, di comunicazioni assolutamente autentiche da parte dei server di Meta, sollecitate però da attori terzi non autorizzati.
La genesi di questo fenomeno è ancora oggetto di discussione tra le parti coinvolte. Da un lato, abbiamo l'allarme lanciato dagli analisti di sicurezza che ipotizzano una compromissione massiva di dati sensibili; dall'altro, troviamo la posizione ufficiale di Meta (la società a cui fa capo Instagram), che smentisce categoricamente qualsiasi violazione di dati (o data breach) e attribuisce l'accaduto a un bug tecnico ora risolto. In uno scenario così confuso è difficile risalire alla reale origine dell’anomalia.
L’ipotesi di furto di 17,5 milioni di account Instagram
Il fenomeno di cui vi abbiamo appena accennato in apertura è tutt’altro che circoscritto. Secondo una ricostruzione fatta dagli esperti di sicurezza di Malwarebytes, infatti, sarebbero stati circa 17,5 milioni i profili Instagram interessati dal fenomeno. In un post pubblicato su social Bluesky, l'invio massivo di queste e-mail non sarebbe imputabile a un semplice errore di sistema, ma rappresenterebbe la punta dell'iceberg di un'operazione criminale più ampia e complessa. Gli analisti sostengono che attori malintenzionati siano riusciti a sottrarre un database contenente le informazioni personali degli utenti Instagram. Questa l'affermazione fatta dagli esperti:
I criminali informatici hanno rubato le informazioni sensibili di 17,5 milioni di account Instagram, inclusi nomi utente, indirizzi fisici, numeri di telefono, indirizzi e-mail e altro ancora. Questi dati sono disponibili per la vendita sul dark web e possono essere utilizzati in modo improprio dai criminali informatici.
La risposta di Meta
Davanti ad accuse così gravi, la risposta di Meta non si è fatta attendere. Scegliendo curiosamente la piattaforma rivale X (l'ex Twitter), anziché utilizzare i propri canali (come Threads o il blog ufficiale di Instagram), Meta ha negato con fermezza l'ipotesi della violazione dei sistemi interni e ha spiegato:
Abbiamo risolto un problema che consentiva a soggetti esterni di richiedere l'invio di e-mail di reimpostazione della password per alcuni utenti. Non si è verificata alcuna violazione dei nostri sistemi e i tuoi account Instagram sono al sicuro. Puoi ignorare tali e-mail. Ci scusiamo per l'eventuale confusione.
Instagram, dunque, ha attribuito il fenomeno a un problema tecnico, ora corretto, che consentiva a una non meglio specificata «parte esterna» di attivare il meccanismo di recupero password per un numero limitato di utenti. Questo suggerisce che qualcuno abbia sfruttato una debolezza nel modulo di richiesta (probabilmente automatizzando l'inserimento di indirizzi e-mail in massa) per generare spam, senza però avere mai avuto accesso reale all'interno degli account.
Cosa fare se avete ricevuto la mail di reset password
Le dichiarazioni di Meta non hanno risolto i dubbi su quanto accaduto. Sebbene Instagram affermi che non c'è stata alcuna violazione dei suoi sistemi, non spiega come la «parte esterna» fosse in possesso degli indirizzi e-mail degli utenti che hanno ricevuto le richieste di reset. Rimangono incertezze anche sulla reale portata dell'evento e sull'identità di chi ha sfruttato il bug tecnico. Monitoreremo la situazione e torneremo sull'argomento non appena ci saranno eventuali evidenze sull’accaduto. Nel frattempo, ecco cosa dovreste fare se avete ricevuto la mail di reset.
- Reimpostate la password: anche se Instagram sostiene che ciò non sia necessario, vi suggeriamo comunque di reimpostare la password del vostro account Instagram aprendo l'app del social network, andando sul vostro profilo, premendo sul pulsante ≡ e agendo dalla sezione Centro gestione account > Password e sicurezza > Modifica password.
- Attivate l'autenticazione a due fattori: in questo modo andrete a blindare il vostro profilo da eventuali accessi indesiderati. Per fare ciò, una volta giunti nella sezione Centro gestione account > Password e sicurezza, toccate la dicitura Autenticazione a due fattori e seguite le istruzioni apposite. Vi raccomandiamo di attivare la ricezione del secondo fattore tramite apposite app di autenticazione e non via SMS, visto che questi ultimi sono poco sicuri, come sottolineato anche dall'FBI.
- Non cliccate sui link presenti nelle mail: per effettuare il cambio password sul vostro account Instagram, agite direttamente dall'app di Instagram (come vi abbiamo mostrato nel primo punto). Questo perché i criminali informatici potrebbero approfittare della confusione generale originatasi da quanto accaduto per inviare finte mail provenienti da Meta contenenti link malevoli. Tenete sempre gli occhi ben aperti prima di aprire un qualsiasi collegamento ipertestuale: i pericoli informatici sono sempre dietro l'angolo!
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
