Negli ultimi giorni migliaia di utenti di Instagram si sono trovati davanti a una situazione anomala e preoccupante: notifiche ripetute di richiesta di reimpostazione della password, pur non avendo avviato alcuna procedura di recupero dell’account. In un primo momento l’episodio è sembrato rientrare nei consueti tentativi di accesso non autorizzato che colpiscono periodicamente i profili social. Tuttavia, con l’aumento esponenziale delle segnalazioni pubblicate dagli stessi utenti sui social network, è apparso evidente che il fenomeno non riguardava casi isolati, ma stava assumendo dimensioni molto più ampie.
L’ipotesi della fuga di dati da Instagram
Una prima interpretazione del fenomeno è arrivata dalla società di cybersicurezza Malwarebytes, che ha parlato di una possibile esposizione massiccia di dati personali. Secondo quanto comunicato dall’azienda, un archivio contenente informazioni riferite a circa 17,5 milioni di account Instagram sarebbe emerso durante le consuete attività di monitoraggio del dark web. Il pacchetto di dati includerebbe nomi utente, indirizzi fisici, numeri di telefono, email e altre informazioni sensibili, materiale che risulterebbe già messo in vendita in ambienti frequentati da criminali informatici.
Sempre secondo Malwarebytes, la presenza di questi dati potrebbe facilitare attacchi informatici più sofisticati, come campagne di phishing altamente personalizzate o tentativi di compromissione diretta degli account. In questo scenario, l’invio massiccio delle email di reset della password rappresenterebbe una fase preliminare dell’attacco, finalizzata a confondere gli utenti e indurli a compiere azioni che potrebbero esporli a ulteriori rischi.
Un precedente tecnico del 2024 e i rischi per gli utenti
Nel dettaglio, Malwarebytes ha spiegato di aver individuato il presunto database nel corso delle proprie attività di scansione delle reti illegali online. In una comunicazione inviata ai clienti, l’azienda ha inoltre ipotizzato un possibile collegamento con un incidente tecnico precedente, riconducibile a una esposizione di un’API di Instagram risalente al 2024. Se questa ricostruzione fosse confermata, il problema avrebbe quindi radici più lontane di quanto inizialmente emerso.
La disponibilità di un simile insieme di informazioni, sempre secondo gli esperti di sicurezza, aumenterebbe in modo significativo la probabilità di truffe digitali mirate, mettendo a rischio non solo i profili social ma anche altri servizi collegati alle stesse credenziali.
La smentita ufficiale di Instagram
Di tutt’altro segno è stata la posizione ufficiale assunta da Instagram. Con un messaggio pubblicato inizialmente su X e successivamente su Threads, la piattaforma ha negato che vi sia stata alcuna violazione dei propri sistemi, escludendo quindi l’ipotesi di un data breach. Secondo quanto dichiarato dall’azienda, l’anomalia sarebbe dipesa da un problema tecnico che permetteva a una parte esterna di richiedere l’invio delle email di reimpostazione della password per alcuni utenti, senza che ciò comportasse l’accesso ai dati interni della piattaforma.
“Abbiamo risolto un problema che consentiva a un soggetto esterno di richiedere email di reset della password per alcune persone. Non c’è stata alcuna violazione dei nostri sistemi e gli account Instagram sono sicuri”, ha comunicato la società, invitando gli utenti a ignorare le email ricevute e scusandosi per la confusione generata.
Le domande ancora aperte
Instagram non ha però fornito ulteriori dettagli sull’identità del soggetto esterno coinvolto né sulla natura tecnica precisa del malfunzionamento. La presa di posizione ufficiale è arrivata dopo che Malwarebytes aveva diffuso uno screenshot, pubblicato su Bluesky, che mostrava un’email di reset della password proveniente da un indirizzo ufficiale di Instagram, contribuendo ad alimentare i sospetti.
La vicenda resta quindi al centro dell’attenzione, sospesa tra le rassicurazioni della piattaforma e le preoccupazioni sollevate dagli esperti di sicurezza, mentre milioni di utenti continuano a interrogarsi sulla reale portata dell’episodio e sulla protezione dei propri dati personali.
Potrebbe interessarti anche questo articolo: Rivoluzione Instagram: perché d’ora in poi vedremo meno hashtag sotto i post