Instagram a nié que ses systèmes aient été compromis après que des utilisateurs ont signalé avoir reçu des e-mails inattendus de réinitialisation de mot de passe. Ces messages, qui semblaient être des notifications légitimes de récupération de compte, suscitaient des inquiétudes quant à la possibilité que des informations de compte aient été compromises. Instagram a indiqué que cette activité était liée à un problème technique affectant son processus de réinitialisation du mot de passe plutôt qu’à un accès non autorisé aux systèmes internes.
Les utilisateurs ont rapporté avoir reçu des e-mails de réinitialisation de mot de passe qu’ils n’avaient pas demandés, parfois plusieurs fois en peu de temps. Les notifications ont été envoyées via le flux de récupération standard d’Instagram, conçu pour aider les titulaires de comptes à retrouver l’accès s’ils oublient leur mot de passe. Instagram a indiqué que les emails avaient été déclenchés par une partie externe, mais cela ne signifiait pas que les comptes avaient été compromis ou que les mots de passe avaient été exposés.
Selon l’entreprise, l’incident impliquait un problème permettant de générer des messages de réinitialisation du mot de passe sans connexion réussie ni compromission du compte. Instagram a dit avoir résolu le problème et rétabli le comportement normal de la fonction de réinitialisation. L’entreprise conseillait aux utilisateurs d’ignorer les e-mails de réinitialisation qu’ils n’avaient pas initiés et d’éviter d’interagir avec des messages suspects.
Les rapports ont émergé en même temps que des affirmations selon lesquelles un vaste ensemble de données lié aux comptes Instagram était annoncé dans les espaces de cybercriminalité. Ces annonces allèguent généralement que des informations personnelles ont été obtenues et sont disponibles à la vente ou à la distribution. Meta, la société mère d’Instagram, a déclaré qu’elle n’avait pas trouvé de preuve d’une nouvelle violation liée à la réinitialisation des e-mails et a confirmé que les deux problèmes n’étaient pas liés.
Bien qu’Instagram ait déclaré que ses systèmes internes n’avaient pas été compromis, les e-mails de réinitialisation inattendue du mot de passe peuvent néanmoins créer des risques de sécurité pour les utilisateurs. Les spécialistes de la cybersécurité notent que les attaquants peuvent utiliser des requêtes automatisées pour générer des notifications de réinitialisation répétées, soit pour harceler les utilisateurs, soit pour augmenter la probabilité que quelqu’un clique sur un lien dans un message sans le vérifier. Les tentatives répétées de récupération de compte peuvent également dérouter, en particulier si les utilisateurs estiment que leur compte est directement attaqué.
Les chercheurs en sécurité ont également averti que les messages liés à la récupération de comptes sont fréquemment utilisés lors des tentatives de phishing. Les e-mails frauduleux peuvent imiter des notifications de réinitialisation légitimes et diriger les utilisateurs vers de fausses pages de connexion conçues pour capturer des identifiants. Même lorsqu’un e-mail de réinitialisation est authentique, il est conseillé aux utilisateurs d’accéder à leur compte via l’application ou le site officiel Instagram plutôt que de cliquer sur des liens provenant de messages inattendus.
Instagram a encouragé les utilisateurs à revoir les paramètres de sécurité des comptes par précaution. Les étapes recommandées incluent l’utilisation d’un mot de passe fort et unique, l’activation de l’authentification multifactorielle, et la vérification des activités de connexion inconnues. Il est également conseillé aux utilisateurs de confirmer que l’adresse e-mail et le numéro de téléphone associés à leur compte sont corrects, car ces informations sont utilisées pour la récupération et la vérification.
Meta a déjà conseillé aux utilisateurs de considérer les messages de sécurité non sollicités comme un signal d’alerte et d’éviter de partager leurs identifiants via des sites tiers. L’entreprise a également recommandé aux utilisateurs de signaler les e-mails et messages suspects via des outils de plateforme, lorsque possible.
Instagram a indiqué que le problème de réinitialisation du mot de passe avait été résolu. L’incident met en lumière comment des changements ou des faiblesses dans les systèmes de récupération de comptes peuvent susciter une inquiétude généralisée, notamment lorsqu’ils coïncident avec des rapports distincts de fuites de données circulant en ligne.