Un’enorme quantità di dati degli utenti di Instagram è riemersa, rimettendo milioni di account nel mirino più di un anno dopo che si pensava che la fuga di notizie originale fosse morta e sepolta.
Circa 17,5 milioni di account sono stati coinvolti in quest’ultima ondata dopo che i dati hanno iniziato a circolare su un famigerato forum di hacking all’inizio di gennaio 2026. Avviso di sicurezza da MalwarebytesDietro la fuga di notizie c’è un hacker chiamato “Solonik”. Sebbene questa possa sembrare una nuova violazione della sicurezza, gli esperti affermano che i dati in realtà derivano da un passo falso avvenuto nel 2024; Si tratta di un’API Instagram configurata in modo errato che consente ai malintenzionati di raccogliere grandi quantità di informazioni sul profilo prima che Meta colmi il buco.
Quando ciò accadde per la prima volta, gli aggressori potevano raccogliere dati silenziosamente per mesi. Il database alla fine scomparve dal dark web, ma il suo improvviso ritorno dimostra una realtà frustrante dell’era digitale: una volta che le tue informazioni sono disponibili, sono tutte lì.
Il “kit di doxxing” riemerso è particolarmente disgustoso perché è così dettagliato
Non sono solo nomi utente; Include nomi completi, indirizzi e-mail, numeri di telefono e persino indirizzi fisici di casa. Si tratta di una miniera d’oro per i criminali informatici perché consente loro di andare oltre lo spam generico e lanciare attacchi mirati altamente convincenti. Malwarebytes sta già assistendo a un aumento del numero di truffatori che si spacciano per supporto di Instagram per convincere le persone a fornire le proprie informazioni di accesso.
Ma la parte più intelligente di questo attacco è la truffa della reimpostazione della password. Invece di inviare un’e-mail falsa e dall’aspetto impreciso, gli hacker stanno effettivamente attivando vere e proprie richieste di reimpostazione della password dai server di Instagram. Ricevi un’e-mail legittima da un indirizzo “meta.com” o “instagram.com”, vai nel panico pensando che qualcuno sia sul tuo account e, in quel momento di confusione, è molto più probabile che tu cada in un messaggio di phishing o in una chiamata di phishing.
Dall’11 gennaio 2026 Meta è rimasta in silenzio sull’argomento
Sebbene finora l’impatto più visibile si sia verificato in Europa, il rischio è globale; soprattutto per chiunque utilizzi la stessa password per Instagram della propria banca o password di posta elettronica.
Il consiglio degli esperti di sicurezza è semplice ma indiscutibile: cambia subito la password, assicurati che sia univoca e, per l’amor di Dio, attiva l’autenticazione a due fattori (preferibilmente tramite app anziché SMS). Quest’ultima fuga di notizie ci ricorda chiaramente che anche se un’azienda risolve un bug, i dati rubati possono perseguitarti in qualsiasi momento.
