Pastarąją savaitę tūkstančiai „Instagram“ vartotojų visame pasaulyje krūptelėjo atsidarę savo el. pašto dėžutes. Jose laukė oficialūs pranešimai su prašymu atkurti slaptažodį, nors patys vartotojai nieko panašaus neprašė. Kol socialiniuose tinkluose plinta panika dėl galimo masinio įsilaužimo, technologijų milžinė „Meta“ bando gesinti gaisrą, tačiau kibernetinio saugumo ekspertai piešia kur kas niūresnį paveikslą.
Viskas prasidėjo dar sausio 8-ąją (2026 m.), kai socialinius tinklus ir saugumo forumus užplūdo susirūpinusių žmonių žinutės. Visi jie dalijosi ta pačia patirtimi: įtartinas aktyvumas ir netikėti „Instagram“ sistemos laiškai. Nors „Meta“ kategoriškai neigia, kad jų sistemos buvo nulaužtos, nepriklausomi tyrėjai aptiko pėdsakų, kurie verčia sunerimti dėl milijonų vartotojų privatumo.
„Meta“ pozicija: tai tik techninė klaida, jūsų duomenys saugūs
Reaguodama į augantį nepasitenkinimą, „Instagram“ valdanti bendrovė „Meta“ suskubo paaiškinti situaciją. Pasak jų, masinis laiškų siuntinėjimas buvo ne programišių atakos, o vidinės programinės įrangos klaidos rezultatas.
Bendrovės atstovų teigimu, ši spraga leido trečiosioms šalims (išoriniams asmenims ar botams) masiškai generuoti slaptažodžio atkūrimo užklausas, neturint prieigos prie pačių paskyrų.
„Ištaisėme klaidą, kuri leido trečiajai šaliai prašyti kai kurių „Instagram“ naudotojų slaptažodžio atkūrimo el. laiškų. Mūsų sistemos nebuvo pažeistos, o jūsų „Instagram“ paskyros išlieka saugios“, – oficialiame pranešime raminamai teigia bendrovė, pabrėždama, kad tai tebuvo erzinantis techninis nesklandumas, o ne saugumo katastrofa.
Tamsioji interneto pusė rodo ką kita: nutekėjo milijonai įrašų?
Nepaisant „Meta“ patikinimų, kibernetinio saugumo bendrovė „Malwarebytes“ pateikė ataskaitą, kuri prieštarauja ramiam tonui. Jų ekspertai aptiko, kad tamsiajame internete (angl. Dark Web) pasirodė duomenų bazė, kurioje, kaip įtariama, yra informacija, susijusi su 17,5 mln. „Instagram“ paskyrų.
Nors slaptažodžiai šiame nutekėjime nefigūruoja, „Malwarebytes“ įspėja, kad viešinami duomenys yra itin jautrūs:
- Vartotojų vardai;
- Tikri el. pašto adresai;
- Telefono numeriai;
- Fizinės buvimo vietos duomenys.
Ką tai reiškia paprastam vartotojui? Net jei programišiai neturi jūsų slaptažodžio, turėdami jūsų telefono numerį ir el. paštą, jie gali vykdyti tikslines sukčiavimo (angl. phishing) atakas, bandyti pavogti tapatybę ar pasinaudoti socialinės inžinerijos metodais, kad išgautų pinigus ar prisijungimus.
Versijų karas: sena API spraga ar naujas pavojus?
„Meta“ laikosi pozicijos, kad joks naujas nutekėjimas neįvyko. Jų teigimu, internete klajojantys duomenys greičiausiai yra seni – surinkti (angl. scraped) iš viešai prieinamų šaltinių ankstesniais metais.
Tuo tarpu ekspertai spėlioja, kad dabartinė situacija gali būti susijusi su dar 2024 metais aptiktu „Instagram“ API (sąsajos, leidžiančios programoms bendrauti tarpusavyje) pažeidžiamumu. Būtent per tokias spragas piktavaliai dažnai „išsiurbia“ duomenis, kurie vėliau parduodami juodojoje rinkoje. Šiuo metu ataskaitos išlieka prieštaringos: viena pusė teigia, kad viskas kontroliuojama, kita – kad vartotojų privatumas pažeistas.
Ką privalote padaryti dabar pat?
Kol milžinės ir ekspertai aiškinasi santykius, vartotojams patariama nelaukti galutinių išvadų ir pasirūpinti savo saugumu. Net jei „Meta“ ištaisė klaidą, dėl kurios gavote laiškus, jūsų duomenys vis tiek gali būti pažeidžiami.
Saugumo ekspertai rekomenduoja tris esminius žingsnius:
- Įjunkite dviejų veiksnių autentifikavimą (2FA): Svarbu – rinkitės ne SMS žinutes (nes telefono numeriai galėjo nutekėti), o specialias autentifikavimo programėles (pvz., „Google Authenticator“ ar „Duo Mobile“). Tai žymiai saugiau.
- Pasikeiskite slaptažodį: Profilaktiškai atsinaujinkite prisijungimo duomenis į stiprų, niekur kitur nenaudojamą slaptažodį.
- Būkite itin įtarūs: Jei gaunate el. laišką, prašantį patvirtinti tapatybę, įvesti duomenis ar „skubiai“ pakeisti slaptažodį – nespauskite jokių nuorodų. Eikite tiesiogiai į programėlę ir tikrinkite nustatymus ten.
Nors techninė klaida išspręsta, ši istorija dar kartą primena: socialiniuose tinkluose jūsų duomenys niekada nėra šimtu procentų saugūs, todėl budrumas yra geriausia apsauga.
