Instagram ha negato che i suoi sistemi siano stati violati dopo che gli utenti hanno segnalato di aver ricevuto email di reset di password inaspettate. I messaggi, che sembravano essere notifiche legittime di recupero account, suscitavano preoccupazione che le informazioni dell’account potessero essere state compromesse. Instagram ha dichiarato che l’attività era collegata a un problema tecnico che riguardava il processo di reset della password, piuttosto che ad accesso non autorizzato ai sistemi interni.
Gli utenti hanno riferito di aver ricevuto email di reset della password che non avevano richiesto, in alcuni casi più volte in un breve periodo. Le notifiche sono state inviate tramite il flusso di lavoro standard di recupero di Instagram, progettato per aiutare i titolari di account a riottenere l’accesso se dimenticano la password. Instagram ha dichiarato che le email erano state attivate da una parte esterna, ma ciò non significava che gli account fossero stati compromessi, o che le password fossero state esposte.
Secondo l’azienda, l’incidente ha coinvolto un problema che permetteva di generare messaggi di reset della password senza un login riuscito o una compromessa dell’account. Instagram ha detto di aver risolto il problema e di aver ripristinato il comportamento normale della funzione di reset. L’azienda consigliava agli utenti di ignorare le email di reset che non avevano avviato e di evitare di interagire con messaggi sospetti.
I rapporti sono emersi insieme alle affermazioni secondo cui un ampio dataset collegato agli account Instagram veniva pubblicizzato negli ambienti della criminalità informatica. Tali inserzioni tipicamente sostengono che informazioni personali siano state ottenute e siano disponibili per la vendita o la distribuzione. Meta, la società madre di Instagram, ha dichiarato di non aver trovato prove di una nuova violazione collegata all’attività di reset delle email e ha confermato che i due problemi non erano collegati.
Sebbene Instagram abbia dichiarato che i suoi sistemi interni non sono stati violati, le email di reset della password inaspettate possono comunque creare rischi per la sicurezza degli utenti. Gli specialisti della cybersecurity osservano che gli attaccanti possono utilizzare richieste automatiche per generare notifiche di reset ripetute, sia per molestare gli utenti sia per aumentare la probabilità che qualcuno clicchi su un link in un messaggio senza verificarlo. Tentativi ripetuti di recupero dell’account possono anche creare confusione, soprattutto se gli utenti ritengono che il loro account sia sotto attacco diretto.
I ricercatori di sicurezza hanno anche avvertito che i messaggi relativi al recupero degli account sono frequentemente utilizzati nei tentativi di phishing. Le email fraudolente possono imitare notifiche di reset legittime e indirizzare gli utenti a pagine di accesso false progettate per catturare le credenziali. Anche quando un’email di reset è autentica, si consiglia agli utenti di accedere al proprio account tramite l’app o il sito ufficiale di Instagram invece di cliccare sui link di messaggi imprevisti.
Instagram ha incoraggiato gli utenti a rivedere le impostazioni di sicurezza degli account come precauzione. I passaggi consigliati includono l’uso di una password forte e unica, l’abilitazione dell’autenticazione multifattore e il controllo di attività di accesso sconosciute. Si consiglia inoltre agli utenti di confermare che l’indirizzo email e il numero di telefono associati al proprio account siano corretti, poiché questi dati sono utilizzati per il recupero e la verifica.
Meta ha precedentemente consigliato agli utenti di considerare i messaggi di sicurezza non richiesti come un segnale d’allarme e di evitare di condividere i dati di accesso tramite siti di terze parti. L’azienda ha inoltre raccomandato agli utenti di segnalare email e messaggi sospetti tramite strumenti della piattaforma, dove possibile.
Instagram ha detto che il problema del reset della password è stato risolto. L’incidente evidenzia come cambiamenti o debolezze nei sistemi di recupero dei conti possano suscitare ampie preoccupazioni, soprattutto quando coincidono con segnalazioni separate di dati trapelati che circolano online.