Malwarebytes cho biết khoảng 17,5 triệu người dùng Instagram có thể đã bị rao bán dữ liệu cá nhân trên các diễn đàn ngầm, dù Meta phủ nhận hệ thống bị xâm nhập.
Sau thông tin này, nhiều người dùng báo cáo nhận được nhiều email yêu cầu đặt lại mật khẩu, làm dấy lên lo ngại về rủi ro lừa đảo và chiếm đoạt tài khoản nếu dữ liệu liên hệ bị khai thác.
- Malwarebytes nói dữ liệu khoảng 17,5 triệu người dùng Instagram bị rao bán; Meta khẳng định không có “breach”.
- Dữ liệu bị cho là lộ gồm username, địa chỉ nhà, email, số điện thoại và thông tin cá nhân khác, có thể liên quan phơi lộ API năm 2024.
- Người dùng nên bật xác thực hai yếu tố, đổi mật khẩu mạnh và cảnh giác email/tin nhắn bất thường để giảm rủi ro bị lừa đảo.
Malwarebytes nói dữ liệu người dùng Instagram đã bị rao bán
Malwarebytes báo cáo Instagram phát hiện dấu hiệu sự cố trong quá trình theo dõi dark web và cho rằng dữ liệu nhạy cảm của khoảng 17,5 triệu tài khoản đang được chào bán trên các diễn đàn ngầm.
Theo Malwarebytes, Instagram phát hiện vấn đề khi thực hiện quét giám sát dark web định kỳ và thông tin thu thập được cho thấy dữ liệu người dùng đã xuất hiện để mua bán trên các kênh ngầm.
Báo cáo được Malwarebytes đăng tải công khai qua liên kết: Malwarebytes cho biết dữ liệu Instagram bị rao bán.
Những loại dữ liệu bị cho là đã lộ gồm cả địa chỉ nhà và số điện thoại
Thông tin được mô tả là bị lộ gồm username Instagram, địa chỉ vật lý, số điện thoại, email và các chi tiết cá nhân khác, làm tăng nguy cơ lừa đảo nhắm mục tiêu.
Nếu dữ liệu liên hệ như email và số điện thoại bị lộ, kẻ xấu có thể phối hợp nhiều kênh để “đánh lừa” nạn nhân, chẳng hạn gửi email giả mạo, nhắn SMS, hoặc mạo danh trong tin nhắn trực tiếp.
Danh sách dữ liệu có địa chỉ nhà còn có thể kéo theo rủi ro nghiêm trọng hơn như đánh cắp danh tính, quấy rối có chủ đích, hoặc đe dọa an toàn cá nhân, tùy vào mức độ chi tiết và khả năng liên kết với danh tính thật.
Sự cố có thể liên quan phơi lộ API năm 2024
Malwarebytes cho rằng sự việc có liên hệ một khả năng phơi lộ API xảy ra trong năm 2024, dù chưa có xác nhận độc lập trong nội dung này.
Theo mô tả, “API exposure” thường ám chỉ rủi ro khi một giao diện lập trình ứng dụng bị cấu hình sai, bị lạm dụng, hoặc bị lộ khóa/truy cập, khiến dữ liệu có thể bị truy xuất ngoài mục đích dự kiến.
Trong thực tế, các sự cố kiểu API thường dẫn tới rò rỉ dữ liệu theo quy mô lớn vì có thể tự động hóa việc thu thập thông tin, đặc biệt khi hạn chế tốc độ (rate limit) hoặc cơ chế xác thực không đủ chặt.
Meta phủ nhận bị xâm nhập và giải thích email reset do bên ngoài kích hoạt
Meta nói không có việc xâm nhập hệ thống; công ty cho biết đã sửa lỗi cho phép bên ngoài yêu cầu gửi email đặt lại mật khẩu cho một số người dùng và người dùng có thể bỏ qua các email đó.
Trong tuyên bố công khai, Instagram cho biết một “vấn đề kỹ thuật” đã được khắc phục và sự cố khiến email đặt lại mật khẩu được kích hoạt bởi một bên bên ngoài, đồng thời khẳng định tài khoản vẫn an toàn.
“Chúng tôi đã khắc phục một vấn đề cho phép một bên bên ngoài yêu cầu gửi email đặt lại mật khẩu cho một số người. Không có vụ xâm nhập vào hệ thống của chúng tôi và tài khoản Instagram của bạn vẫn an toàn. Bạn có thể bỏ qua các email đó — xin lỗi vì đã gây nhầm lẫn.”
– Instagram, thông báo trên X
Tuyên bố này được đăng tại: Instagram nói không có xâm nhập hệ thống.
Vì sao người dùng vẫn hoang mang khi có nhiều email đặt lại mật khẩu?
Dù Meta phủ nhận, nhiều người dùng cho biết họ nhận nhiều email yêu cầu đặt lại mật khẩu, tạo cảm giác có chiến dịch khai thác thông tin để chiếm quyền tài khoản hoặc lừa đảo.
Khi nạn nhân liên tục nhận email reset, họ có thể hoảng sợ và làm theo các “hướng dẫn” giả mạo từ kẻ tấn công, đặc biệt nếu kẻ xấu gửi kèm đường link/thông điệp giống thương hiệu.
Dữ liệu bị cho là lộ như username, email, số điện thoại giúp kẻ tấn công cá nhân hóa nội dung lừa đảo (social engineering), khiến thông điệp trông đáng tin hơn và tăng tỷ lệ nạn nhân nhấp link độc hại hoặc cung cấp thêm thông tin nhạy cảm.
Kịch bản rủi ro: chiếm tài khoản, spam bạn bè và khai thác dữ liệu thanh toán liên kết
Khi có username, email và số điện thoại, kẻ xấu có thể thử chiếm tài khoản bằng nhiều cách, sau đó dùng tài khoản để phát tán spam, lừa người theo dõi, hoặc truy cập các thông tin liên kết.
Nếu nạn nhân tái sử dụng mật khẩu giữa nhiều dịch vụ, việc lộ email/username có thể dẫn tới các nỗ lực “credential stuffing” (thử đăng nhập hàng loạt bằng mật khẩu rò rỉ từ nơi khác).
Trong trường hợp tài khoản bị chiếm đoạt, kẻ tấn công có thể nhắn tin lừa đảo tới người theo dõi, gắn link độc hại, hoặc tìm cách khai thác nội dung tin nhắn riêng tư để tống tiền hay tiếp tục lừa đảo có mục tiêu.
Người dùng Instagram nên tự bảo vệ bằng 2FA và mật khẩu mạnh
Các chuyên gia bảo mật khuyến nghị bật xác thực hai yếu tố (2FA), đổi mật khẩu mạnh và cảnh giác với email/tin nhắn bất ngờ yêu cầu cung cấp thông tin hoặc hành động gấp.
2FA bổ sung một lớp xác minh ngoài mật khẩu, thường là mã gửi qua điện thoại hoặc tạo từ ứng dụng xác thực, giúp giảm rủi ro bị chiếm tài khoản ngay cả khi mật khẩu bị lộ.
Nên đổi mật khẩu Instagram nếu bạn dùng mật khẩu lâu ngày hoặc tái sử dụng trên nhiều nền tảng. Mật khẩu mạnh thường gồm chữ hoa, chữ thường, số và ký tự đặc biệt, đồng thời phải là mật khẩu duy nhất cho từng dịch vụ.
Hãy thận trọng với email, SMS hoặc tin nhắn trực tiếp bất ngờ đòi cung cấp dữ liệu cá nhân. Nếu cần xử lý bảo mật, hãy tự mở ứng dụng/website chính thức thay vì bấm link trong tin nhắn.
Những câu hỏi thường gặp
Hiện có xác nhận chính thức rằng Instagram bị xâm nhập không?
Meta phủ nhận có “breach” và nói họ chỉ sửa một lỗi cho phép bên ngoài yêu cầu gửi email đặt lại mật khẩu. Trong khi đó, Malwarebytes cho rằng dữ liệu của khoảng 17,5 triệu người dùng đang bị rao bán.
Những loại thông tin nào được cho là bị rao bán?
Mô tả từ Malwarebytes nêu các trường dữ liệu như username Instagram, địa chỉ nhà, số điện thoại, email và các thông tin cá nhân khác.
Tại sao tôi nhận nhiều email yêu cầu đặt lại mật khẩu?
Theo Meta, lỗi kỹ thuật từng cho phép một bên bên ngoài kích hoạt việc gửi email reset cho một số người dùng. Dù vậy, bạn vẫn nên kiểm tra bảo mật tài khoản và không bấm link lạ.
Lộ email và số điện thoại có thể dẫn đến rủi ro gì?
Kẻ xấu có thể dùng các dữ liệu này để tạo thông điệp lừa đảo thuyết phục hơn, dụ bạn nhấp link độc hại, cung cấp thêm thông tin nhạy cảm, hoặc thử chiếm quyền các tài khoản liên quan.
Cần làm gì ngay để giảm rủi ro?
Bật 2FA, đổi mật khẩu mạnh và duy nhất cho Instagram, đồng thời cảnh giác với email/tin nhắn bất ngờ yêu cầu hành động gấp. Hãy thao tác trực tiếp trong ứng dụng thay vì qua link gửi kèm.