Un enorme tesoro di dati degli utenti di Instagram è appena tornato in superficie e sta rimettendo milioni di account nel mirino più di un anno dopo che si pensava che la fuga di notizie originale fosse morta e sepolta.
Circa 17,5 milioni di account sono coinvolti in quest’ultima ondata dopo che i dati hanno iniziato a fare il giro su un famigerato discussion board di hacking all’inizio di gennaio 2026. Secondo un avviso di sicurezza di Malwarebytesdietro la fuga di notizie c’è un hacker conosciuto con lo pseudonimo di “Solonik”. Anche se questa potrebbe sembrare una nuova violazione della sicurezza, gli esperti affermano che i dati in realtà derivano da un passo falso del 2024: un’API Instagram configurata in modo errato che ha consentito ai malintenzionati di racimolare enormi quantità di informazioni sul profilo prima che Meta potesse tappare il buco.
Quando ciò accadde per la prima volta, gli aggressori furono in grado di raccogliere dati in silenzio per mesi. Alla high quality, il database è scomparso dal darkish internet, ma il suo improvviso ritorno dimostra una realtà frustrante dell’period digitale: una volta che le tue informazioni sono disponibili, lo sono per sempre.
Il “equipment di doxxing” riemerso è particolarmente sgradevole perché è così dettagliato
Non ha solo nomi utente; embrace nomi completi, indirizzi e-mail, numeri di telefono e persino indirizzi di casa fisici. Si tratta di una miniera d’oro per i criminali informatici perché consente loro di superare lo spam generico e lanciare attacchi mirati incredibilmente convincenti. Malwarebytes sta già registrando un picco di truffatori che fingono di essere il supporto di Instagram per indurre le persone a fornire i propri dati di accesso.
La parte più intelligente di questo attacco, tuttavia, è la truffa della reimpostazione della password. Invece di inviare un’e-mail falsa e dall’aspetto losco, gli hacker stanno effettivamente attivando vere e proprie richieste di reimpostazione della password dai server di Instagram. Ricevi un’e-mail legittima da un indirizzo “meta.com” o “instagram.com”, ti fai prendere dal panico pensando che qualcuno sia nel tuo account e, in quel momento di confusione, è molto più probabile che cada in un messaggio di phishing o in una chiamata di phishing.
Dall’11 gennaio 2026 Meta è rimasta in silenzio sulla questione
Anche se finora l’impatto più visibile si è avuto in Europa, il rischio è globale, soprattutto per chiunque utilizzi la stessa password per Instagram e per la propria banca o la propria posta elettronica.
Il consiglio dei professionisti della sicurezza è semplice ma non negoziabile: cambia subito la password, assicurati che sia univoca e, per l’amor del cielo, attiva l’autenticazione a due fattori (preferibilmente utilizzando un’app anziché gli SMS). Quest’ultima fuga di notizie ci ricorda chiaramente che anche se un’azienda risolve un bug, i dati rubati possono tornare a perseguitarti in qualsiasi momento.
