外洩資料內容及風險
綜合《CyberInsider》、《Engadge》等外媒報導,Malwarebytes指出,這批資料涵蓋使用者名稱、真實姓名、電子郵件信箱、電話號碼、部分實體地址及其他聯絡方式等敏感資訊。資安專家警告,駭客可能利用這些資料發動冒充攻擊、釣魚郵件,甚至透過Instagram的「重設密碼」機制試圖接管帳號。
疑似源自API漏洞
調查顯示,這次外洩資料疑似源自2024年Instagram應用程式介面(API)漏洞。代號「Solonik」的駭客近日在知名論壇BreachForums公開部分樣本,並聲稱可付費購買完整資料包。對此,台灣好市多澄清,經內部查核後,確認相關資料並非其會員資訊。
目前Instagram母公司Meta尚未對事件正式回應,官方資安公告與社群平台亦未發表說明。外界仍無法確認資料外洩的確切原因,包括是否為API端點設定錯誤、第三方整合漏洞或內部系統設定不當。
用戶安全風險與防護建議
Malwarebytes進一步指出,部分受影響用戶已收到多封來自Instagram的密碼重設通知,這些通知既可能是官方安全措施,也可能被駭客濫用。用戶未來可能收到外觀逼真的電子郵件或私訊,誘導點擊惡意連結或輸入帳密。
資安專家建議,用戶應立即啟動3步驟:
- 更換Instagram密碼。
- 啟用雙重驗證(2FA)。
- 檢查帳號是否有不明裝置登入。
