駭客於多個論壇兜售1750萬筆Instagram用戶資料,傳出是4年前的舊資料再度流出
事件概要
資安公司Malwarebytes警告,有人聲稱竊得約1750萬筆Instagram帳號敏感資料,並疑似假借重設密碼名義寄送釣魚信對用戶下手。該資料已流入多個駭客論壇,並提供用戶下載,引發全球資安圈高度關注。
資料來源與涉事駭客
據報導,這批資料由駭客「Solonik」於2026年1月7日在論壇免費釋出,其後亦有消息指出,此人曾於暗網兜售臺灣好市多(Costco)會員個資,顯示其可能為同一個攻擊者。
資料內容與潛在風險
此次外洩的資料包含用戶名、電子郵件地址、電話號碼等敏感資訊。駭客已向Instagram用戶發送「密碼重設」電子郵件,作為網釣攻擊手段,若用戶未主動申請,極可能已遭鎖定。
技術背景與關聯事件
調查顯示,此次資料外洩疑似源自2024年Instagram應用程式介面(API)漏洞。相關資料庫在暗網中被發現,並被用於攻擊與商業兜售,顯示其與先前API外洩事件有關。
用戶應對建議
- 無視可疑電子郵件:除非本人主動申請,否則任何「密碼重設」郵件都應視為釣魚信。
- 啟用雙重認證(2FA):建議使用認證應用程式(如Google Authenticator)而非僅依賴SMS。