11일 외신 데일리메일은 전 세계 수백만 명의 인스타그램 사용자가 비정상적으로 많은 수의 비밀번호 재설정 이메일을 받아 광범위한 우려와 보안 우려를 불러일으켰다고 보도했다. 여러 사이버보안 기관과 외신은 약 1,750만 계정의 비밀번호가 아닌 개인정보(사용자 이름, 실명, 이메일 주소, 전화번호, 일부 주소 및 기타 연락처 정보 포함)가 2024년 Instagram API 인터페이스를 통해 불법적으로 획득된 것으로 의심되며, 2026년 1월 8일 위협 행위자 코드명 "Solonnik"에 의해 BreachForums 포럼에 공개적으로 공개되었다고 지적했습니다. 해당 데이터 세트에는 1,700만 개가 넘는 기록이 포함되어 있으며 무료로 이용 가능합니다. 다운로드.
사건이 폭로된 후 보안 회사인 Malwarebytes는 1월 10일 소셜 플랫폼에 조기 경고를 발표하면서 정보 배치에 일반 텍스트 비밀번호나 암호화된 자격 증명이 포함되어 있지 않더라도 고도로 구조화된 개인 신원 데이터가 스피어 피싱, 사회 공학 공격, 신원 도용, 금융 사기 등 후속 범죄 활동에 쉽게 사용될 수 있다는 점을 강조했습니다. 같은 기간 동안 많은 사용자가 짧은 시간 내에 Instagram으로부터 표준화된 재설정 이메일을 받았다고 보고했습니다. 콘텐츠에는 눈에 띄는 파란색 "비밀번호 재설정" 버튼과 "이 이메일을 무시하면 비밀번호가 변경되지 않습니다. 요청이 시작되지 않으면 저희에게 알려주십시오."라는 표준 프롬프트가 포함되어 있습니다.
대중의 우려에 메타는 1월 11일 공식 성명을 발표했다. 회사는 "데이터 침해가 발생하지 않았으며 인스타그램 시스템이 손상되지 않았으며 사용자 계정은 안전하게 유지됩니다"라고 분명히 밝혔습니다.
Meta 대변인에 따르면 이 대규모 이메일 트리거는 외부인이 일반적인 확인 프로세스를 우회하고 일부 Instagram 사용자에게 일괄적으로 가짜 비밀번호 재설정 요청을 시작하여 시스템이 자동으로 재설정 이메일을 보내도록 허용하는 수정된 기술적 취약점으로 인해 발생했습니다.
메타 측은 해당 취약점이 발견된 후 최대한 빨리 복구했음을 강조했으며, 해당 문제가 악의적인 계정 탈취나 기타 측면 침투 행위에 이용됐다는 증거는 없음을 확인했다. Meta는 이러한 허위 경보로 인해 대중에게 혼란을 가져온 데 대해 사과하고 인프라 보안 업그레이드 및 API 액세스 제어에 계속 투자하겠다는 약속을 다시 한 번 밝혔습니다.