Instagram, frappé par une fuite massive de données

Les données personnelles d'au moins 17,5 millions d'utilisateurs d'Instagram auraient été compromises et diffusées sur le dark web, suscitant de fortes inquiétudes quant à la protection de la vie privée et à la sécurité de la plateforme, selon plusieurs médias.

La société de cybersécurité Malwarebytes indique que le jeu de données divulgué comprend des noms d'utilisateur, des noms complets, des adresses e-mail, des numéros de téléphone, des adresses physiques partielles et d'autres coordonnées, rapporte le Daily Mail.

Aucun mot de passe ne figurerait dans cet ensemble, mais des experts avertissent que ces informations peuvent néanmoins être exploitées à des fins d'usurpation d'identité ou de fraude financière.

Selon le média spécialisé CyberInsider, la faille serait liée à une vulnérabilité de l'API d'Instagram identifiée en 2024.

Une « fuite massive »

Les pirates auraient contourné les protections standard de Meta et aspiré des données sensibles, avant qu'un acteur malveillant se faisant appeler « Solonnik » ne publie ces informations sur BreachForums plus tôt cette semaine, en proposant le jeu de données gratuitement.

« Une fuite d'une telle ampleur accroît considérablement les risques de campagnes de phishing et de fraudes ciblées », ont déclaré des experts à Malwarebytes, selon le média.

À la suite de cette divulgation, des utilisateurs de plusieurs régions ont signalé avoir reçu un nombre inhabituellement élevé d'e-mails de réinitialisation de mot de passe, alimentant les craintes de comptes compromis.

Meta, le groupe américain propriétaire d'Instagram, n'avait pas publié de communiqué confirmant la fuite début janvier.

Lire aussi :

Les pages d'aide officielles d'Instagram précisent que la réception d'un e-mail de réinitialisation de mot de passe n'indique pas nécessairement un piratage, mais des analystes en cybersécurité recommandent néanmoins la prudence.

Les données divulguées concerneraient des comptes Instagram du monde entier, incluant aussi bien des profils personnels que des comptes d'influenceurs.

Cet incident survient dans un contexte de surveillance accrue des pratiques de protection des données des entreprises de réseaux sociaux.