近期許多 Instagram 用戶頻繁地收到來源不明的密碼重設郵件,這不是單純的系統故障,而是一場大規模資安事件的前兆。根據多家外媒報導,超過 1,700 萬筆 Instagram 用戶資料在暗網遭到販售,雖然目前並未傳出有密碼被直接流出,但這波資料外洩恐將引發一波新的精準釣魚攻擊。
因此,如果這幾天你的信箱突然收到來自 Instagram的「重設密碼」通知信,請務必提高警覺。這可能不是你自己忘記密碼,而是你的帳號資料已經成為駭客手中的商品。
根據 Security Affairs 引述資安公司 Malwarebytes 的最新調查指出,駭客論壇 BreachForums 上出現了一份龐大的資料庫,內容包含約1750萬名 Instagram 用戶的詳細個人資訊。這起事件最早由代號為「Solonik」的駭客所發動,該資料庫隨即遭到公開兜售,引發資安圈高度關注。
駭客疑似曾捲入台灣賣場個資疑雲
值得關注的是,這名代號為「Solonik」的駭客在資安圈並非生面孔。先前台灣媒體曾報導,該帳號疑似與宣稱兜售台灣好市多(Costco)會員資料的駭客為同一人。該駭客當時聲稱握有約 52.6 萬筆會員個資,為此引發了不小的騷動。但是針對此傳聞,好市多官方當時就已做出嚴正澄清,表示經內部清查與比對,該批在暗網流傳的資料並非來自好市多會員系統,且並未發現任何資料外洩的情事。
儘管台灣賣場事件最後證實為虛驚一場,但此次 Instagram 的資料外洩卻似乎更具真實性與威脅性。
利用API漏洞大規模抓取資料
綜合 Notebookcheck 與 Cyber Press 的技術分析,這批 Instagram 資料並非來自核心資料庫的直接入侵,而是極有可能源自於2024年該平台應用程式介面(API)的一個漏洞。駭客透過這個漏洞,大規模爬取並整合了用戶的公開與部分非公開資訊。
雖然 Meta 官方目前尚未針對此事件發布正式聲明,但從外洩資料的結構來看,駭客掌握的資訊相當完整。這份外洩清單包含用戶的使用者名稱(Usernames)、真實姓名、電子郵件地址、國際電話號碼,甚至包含部分的實體地址資訊。
密碼重設攻擊成主要手段
幸運的是,目前的分析顯示這批外洩資料中並不包含用戶的密碼。然而,這並不代表用戶可以高枕無憂。英國媒體 The Sun 在報導中特別示警,駭客正利用手中的電子郵件與使用者名稱,發動大規模的「密碼重設攻擊」。這解釋了為何近期許多用戶會莫名收到官方的重設密碼信件。
而駭客的主要目的則是聚焦在測試帳號有效性,透過觸發重設機制,確認該帳號是否仍在使用。
其次是製造恐慌與釣魚,當用戶收到大量官方信件感到驚慌時,駭客會趁機發送偽造的釣魚郵件,誘導用戶點擊惡意連結輸入舊密碼,進而真正盜取帳號權限。
電話號碼外洩隱藏SIM卡盜用風險
相較於電子郵件,此次外洩事件中包含的「國際電話號碼」對用戶構成的威脅可能更為嚴峻。資安專家警告,電話號碼的流出將大幅增加「SIM卡交換攻擊(SIM Swapping)」的風險。駭客可能利用這些個資向電信業者冒充受害者,將門號轉移至自己手中的 SIM 卡,進而繞過簡訊驗證碼的防護,入侵用戶的銀行或加密貨幣帳戶。
用戶自保的三大關鍵步驟
面對這波攻擊,CyberQ 建議用戶應立即採取以下行動來保護自身數位資產:
啟用雙重驗證(2FA),這是最有效的防線。建議使用驗證應用程式(如 Google Authenticator)而非簡訊驗證,以防範 SIM 卡盜用風險。
忽視非預期的重設郵件,若你並未主動要求重設密碼,請直接忽略這些官方通知信,切勿點擊信中任何連結。若不放心,請直接開啟 Instagram App 進入設定檢查。
檢視登入活動,定期進入 Meta 的「帳號管理中心」,檢查是否有不明裝置登入你的帳號,若發現異常應立即將其登出並更改密碼。
雖然科技大廠在資料保護上投入大量資源,但類似的 API 資料抓取事件仍層出不窮。換言之,在數位時代,將資安防護完全寄託在平台方是不切實際的,使用者必須建立更高的資安意識,才能在資料外洩的洪流中獨善其身。
首圖由 Nano Banana AI 生成
