Negli ultimi giorni si è diffusa una notizia che ha creato preoccupazione mondiale tra gli utenti di Instagram: pare che i dati di circa 17,5 milioni di account Instagram siano finiti sul dark web dopo una fuga di informazioni. Questa situazione ha innescato una ondata di richieste di reset password e messaggi sospetti, generando confusione e rischio di attacchi di phishing mirati alla sottrazione di OTP o credenziali.
La vicenda è complessa perché ci sono due versioni contrastanti.
Secondo ricerche indipendenti e analisi di società di sicurezza online, un database contenente usernames, indirizzi email, numeri di telefono e altri contatti di 17,5 milioni di utenti sarebbe stato pubblicato su forum criminali e ora è facilmente accessibile. I dati deriverebbero da una possibile esposizione delle API di Instagram risalente al 2024, ma sono stati rintracciati solo ora nei circuiti del dark web.
Questa enorme quantità di dati — pur non includendo **le password — è sufficiente per criminali informatici per avviare campagne di phishing personalizzate, richieste di autenticazione a due fattori (OTP) ingannevoli, o addirittura tentativi di acquisire il controllo degli account sfruttando il sistema di reset password.Meta: nessuna violazione dei sistemi ma caos password reset
Dall’altra parte, Meta (la società proprietaria di Instagram) ha dichiarato ufficialmente che non si è verificata una violazione interna dei loro sistemi. Secondo la nota pubblicata dalla piattaforma, il problema sarebbe stato causato da un bug che ha permesso a una parte esterna di inviare richieste di reset per milioni di utenti, ma non da un vero e proprio “data breach” nei server di Instagram. La società ha affermato di aver risolto il problema e invitato gli utenti a ignorare le email sospette.
Questa versione ufficiale spiega perché molte delle email di reset possano sembrare autentiche: provengono effettivamente da indirizzi legittimi, ma il loro invio massiccio è stato causato da un’anomalia. Tuttavia, la coincidenza con la diffusione dei dati non chiariti completamente sul dark web mantiene alta l’attenzione delle autorità e degli esperti di cybersecurity.Perché questo è pericoloso per te
La combinazione di dati esposti, richieste di reset password e messaggi ingannevoli è un terreno ideale per i truffatori. Anche senza conoscere la tua password, un attaccante potrebbe usare informazioni personali esposte per:
-
Fingere di essere Instagram o Meta support e inviarti email o SMS falsi
-
Generare richieste di OTP (codici temporanei)
-
Spingerti a cliccare su link di phishing
-
Provare a ottenere l’accesso al tuo account o a SIM swap tramite tecniche di ingegneria sociale
Queste tattiche sono spesso efficaci perché i messaggi sembrano legittimi e urgenti, spingendo gli utenti ad agire impulsivamente.
Come proteggersi oggi
La prima regola è semplice ma cruciale: non cliccare su link sospetti e non condividere mai i tuoi codici OTP con nessuno, nemmeno se il messaggio sembra provenire da Instagram o Meta. Anche se una mail sembra autentica, fermati un attimo e verifica i dettagli con calma.
Una buona pratica è attivare la verifica in due passaggi (2FA) usando un’app di autenticazione invece degli SMS, e aggiornare regolarmente la tua password con una combinazione forte e unica. Cambiare password regolarmente, monitorare attività sospette e utilizzare strumenti di gestione delle password può aiutarti a mantenere l’account sicuro.
Il rischio non è teorico: è già in atto
Ciò che abbiamo visto nelle ultime settimane è un esempio lampante di come una situazione di incertezza tecnica possa tradursi in una crisi di fiducia e in opportunità per i criminali informatici. Anche se Meta sostiene che i sistemi non sono stati compromessi, la diffusione di informazioni personali e l’aumento di messaggi sospetti indicano che resta fondamentale prendere precauzioni proattive.
Se gestisci account importanti, pagine pubbliche o comunità online, rafforzare le misure di sicurezza è ora più urgente che mai.
Vuoi approfondire?
Se ti interessa una guida completa e pratica per riconoscere questi schemi di truffa, proteggere i tuoi account e reagire nei momenti critici con metodo, vale la pena considerare il libro “Non perdere l’Account: OTP, finti supporti e account clonati – la Regola dei 60 secondi” disponibile qui su Amazon:
https://www.amazon.it/dp/B0GC52MBNV
Questo testo offre scenari reali, procedure chiare e strumenti pronti all’uso per proteggere te stesso, la tua famiglia o i tuoi collaboratori, con un approccio semplice ma efficace al problema della sicurezza digitale personale.