Instagram发生大规模数据泄露事件，近1750万用户受影响

1月上旬，全球多地Instagram用户反馈，短时间内接连收到平台发送的密码重置邮件。邮件内容高度统一，均带有醒目蓝色“重置密码”按钮，还标注“若忽略此邮件，密码不会更改；如未发起请求，请告知我们”的提示。这一异常现象迅速引发用户对账户安全的担忧，相关讨论在社交平台持续升温。

1月10日，安全公司Malwarebytes率先发布预警，揭开事件背后的信息疑云。该公司在暗网监控中发现，1750万Instagram用户的敏感数据正被传播，这些数据包含用户名、真实姓名、邮箱地址、电话号码及部分位置信息，但未涉及明文密码或加密凭证。Malwarebytes指出，这批数据疑似在2024年末通过Instagram一个未受保护的API端点被非法抓取，后于1月8日由代号“Solonnik”的威胁行为者在BreachForums论坛免费发布，数据集包含超1700万条结构化记录，这类信息虽不直接关联账户登录，但极易被用于鱼叉式钓鱼、身份冒用等后续攻击。

尽管密码未泄露，攻击者已开始“武装化”利用这些数据。除了批量触发密码重置邮件制造混乱，试图诱导用户点击虚假链接，更值得警惕的是“SIM 卡交换攻击”风险。安全专家解释，泄露的电话号码与邮箱信息结合后，攻击者可冒充用户联系运营商，以“SIM 卡丢失”为由补办新卡，进而拦截双重验证短信，最终控制账户。此类攻击此前已多次用于加密货币盗窃，一旦成功，用户资产追回难度极大。

事件发酵一天后，Instagram母公司Meta于1月11日正式发声，对“数据泄露”说法予以否认。其发言人明确表示：“Instagram系统未遭入侵，用户账户依然安全，没有发生任何数据泄露事件。” 据Meta解释，此次大规模邮件触发源于一个已修复的技术漏洞，该漏洞曾允许外部人员绕过正常验证流程，向部分用户批量发起虚假密码重置请求，导致系统自动发送邮件。Meta强调，漏洞发现后已第一时间完成修复，目前无证据表明账户被恶意接管，同时就事件引发的公众困惑致歉，并承诺持续升级API访问管控与基础设施安全。

对于普通用户，安全专家给出具体应对建议：收到陌生密码重置邮件时，切勿直接点击链接，可通过Instagram官方APP或官网手动进入密码设置页面核实；优先选择应用内验证工具替代短信验证，降低SIM卡交换攻击风险；若怀疑个人信息泄露，可联系平台客服查询账户日志，并及时更新安全设置，避免在非官方渠道透露手机号、邮箱等核心信息。截至发稿，Meta尚未说明是否会对可能受影响的用户进行单独通知，事件后续进展仍需关注。