Instagram e il cambio password: problemi risolti, nessun furto di dati

Nelle ultime ore, un clima di incertezza ha avvolto milioni di utenti di Instagram, intrappolati in un complesso botta e risposta tra il colosso dei social media e gli esperti di sicurezza informatica.

La questione centrale ruota attorno a un’ondata anomala di email per il ripristino della password ricevute da numerosi iscritti, un fenomeno che ha immediatamente sollevato il timore di una vasta violazione dei dati.

Meta, la società madre di Instagram, è intervenuta per confermare l’esistenza di un difetto tecnico nel proprio servizio, ma ha categoricamente negato che tale disservizio abbia portato al furto di informazioni personali, smentendo di fatto le allarmanti dichiarazioni diffuse da terze parti.

Instagram: problemi con le richieste di cambio password ma niente furto dati

Tutto ha avuto inizio quando diversi utenti hanno iniziato a segnalare la ricezione di mail ufficiali da parte di Instagram che li invitavano a reimpostare le proprie credenziali d’accesso, nonostante non ne avessero fatto richiesta. La situazione era diventata così grave che ha costretto l’azienda a rompere il silenzio.

Sabato scorso, attraverso un post pubblicato curiosamente su X (l’ex Twitter) piuttosto che sulle proprie piattaforme come Threads o Instagram stesso, la società ha ammesso l’incidente. Nel comunicato, l’azienda ha spiegato di aver corretto un problema che consentiva a una parte esterna di attivare l’invio di email di reimpostazione della password per alcuni utenti.

Il messaggio di Instagram mira a tranquillizzare la base utenti, affermando esplicitamente che non vi è stata alcuna violazione dei sistemi interni e che gli account rimangono sicuri.

La direttiva fornita agli utenti è stata semplice e diretta: ignorare quelle email, scusandosi per la confusione generata.

Tuttavia, la brevità della dichiarazione e la mancanza di dettagli specifici su chi fosse questa “parte esterna” o sulla natura tecnica del bug hanno lasciato spazio a interpretazioni contrastanti e preoccupazioni crescenti.

L’allarme lanciato da Malwarebytes

La rassicurazione di Meta si scontra frontalmente con un report molto più allarmante diffuso venerdì scorso da Malwarebytes, noto fornitore di software per la sicurezza informatica.

Attraverso un post sulla piattaforma social Bluesky, Malwarebytes ha condiviso uno screenshot di una delle email di reset incriminate, accompagnandolo con una dichiarazione che dipinge uno scenario ben più grave di un semplice disservizio tecnico.

Secondo l’azienda di sicurezza, i criminali informatici avrebbero sottratto le informazioni sensibili di ben 17,5 milioni di account Instagram.

I dati presumibilmente compromessi includerebbero non solo nomi utente, ma anche indirizzi fisici, numeri di telefono, indirizzi email e altre informazioni personali.

Malwarebytes ha inoltre aggiunto che tale database è attualmente disponibile per la vendita sul dark web, pronto per essere abusato da attori malintenzionati per frodi o furti d’identità. Questa narrazione suggerisce che le email di reset non siano state un semplice errore di sistema, ma il sintomo visibile di un attacco coordinato o il risultato di un tentativo di sfruttare dati già esfiltrati.

Il contesto dei dati e l’ipotesi “BreachForums”

Secondo quanto ricostruito da testate specializzate come The Register, è probabile che Malwarebytes facesse riferimento a un set di dati apparso sul noto sito di leak BreachForums.

Su tale piattaforma, un utente ha recentemente pubblicato un archivio contenente le informazioni personali di oltre 17 milioni di utenti Instagram, sostenendo che questi dati fossero il risultato di una fuga di dati tramite API rilevata nel corso del 2024.

Questo dettaglio è cruciale per interpretare l’accaduto: è possibile che i due eventi siano tecnicamente distintima temporalmente sovrapposti.

Da un lato, il bug corretto da Meta che generava le email di reset; dall’altro, la circolazione di un database (forse vecchio o frutto di scraping precedente) che ha spinto gli analisti di sicurezza a collegare erroneamente le email di reset a una nuova, massiccia violazione dei sistemi di Instagram.

Sebbene Meta insista sul fatto che i suoi sistemi non siano stati violati in questa occasione, la presenza di tali dati sul mercato nero digitale mantiene alta l’attenzione sulla sicurezza delle informazioni degli utenti, lasciando aperta la questione sulla reale origine di quel database milionario.