Instagram heeft ontkend dat zijn systemen zijn gehackt nadat gebruikers onverwachte e-mails met wachtwoordreset hadden ontvangen. De berichten, die legitieme meldingen over accountherstel leken te zijn, wekten bezorgdheid dat accountinformatie mogelijk was gecompromitteerd. Instagram zei dat de activiteit verband hield met een technisch probleem dat het wachtwoordherstelproces bezocht, en niet met ongeautoriseerde toegang tot interne systemen.
Gebruikers meldden e-mails met wachtwoordreset te ontvangen die ze niet hadden aangevraagd, in sommige gevallen meerdere keren binnen korte tijd. De meldingen werden verzonden via de standaard herstelworkflow van Instagram, die is ontworpen om accounthouders te helpen weer toegang te krijgen als ze hun wachtwoord vergeten. Instagram verklaarde dat de e-mails door een externe partij waren getriggerd, maar dit betekende niet dat accounts waren gecompromitteerd of dat wachtwoorden waren onthuld.
Volgens het bedrijf betrof het incident een probleem waarbij wachtwoordresetberichten konden worden gegenereerd zonder succesvol inloggen of accountcompromitteren. Instagram zei dat het het probleem was opgelost en het normale gedrag voor de resetfunctie had hersteld. Het bedrijf adviseerde gebruikers om reset-e-mails die ze niet hadden gestart te negeren en om te vermijden met verdachte berichten.
De rapporten kwamen naast beweringen dat een grote dataset die gekoppeld is aan Instagram-accounts werd geadverteerd in cybercrime-omgevingen. Dergelijke vermeldingen beweren doorgaans dat persoonlijke informatie is verkregen en beschikbaar is voor verkoop of distributie. Meta, het moederbedrijf van Instagram, verklaarde dat het geen bewijs had gevonden van een nieuwe inbreuk die verband houdt met de reset-e-mailactiviteit en bevestigde dat de twee problemen niet met elkaar verbonden waren.
Hoewel Instagram aangaf dat de interne systemen niet zijn gehackt, kunnen onverwachte e-mails met wachtwoordreset-mails nog steeds beveiligingsrisico’s voor gebruikers opleveren. Cyberbeveiligingsspecialisten merken op dat aanvallers geautomatiseerde verzoeken kunnen gebruiken om herhaalde resetmeldingen te genereren, hetzij om gebruikers lastig te vallen of om de kans te vergroten dat iemand op een link in een bericht klikt zonder deze te verifiëren. Herhaalde pogingen tot accountherstel kunnen ook verwarrend zijn, vooral als gebruikers denken dat hun account direct wordt aangevallen.
Beveiligingsonderzoekers hebben ook gewaarschuwd dat berichten met betrekking tot accountherstel vaak worden gebruikt bij phishingpogingen. Frauduleuze e-mails kunnen legitieme resetmeldingen imiteren en gebruikers doorverwijzen naar nep-inlogpagina’s die bedoeld zijn om inloggegevens te verzamelen. Zelfs wanneer een reset-e-mail echt is, wordt gebruikers geadviseerd hun account te openen via de officiële Instagram-app of website in plaats van links van onverwachte berichten te klikken.
Instagram heeft gebruikers aangemoedigd om uit voorzorg de beveiligingsinstellingen van je account te controleren. Aanbevolen stappen zijn onder andere het gebruik van een sterk en uniek wachtwoord, het inschakelen van multifactorauthenticatie en het controleren op onbekende inlogactiviteit. Gebruikers wordt ook geadviseerd te controleren of het e-mailadres en telefoonnummer dat aan hun account is gekoppeld correct zijn, aangezien deze gegevens worden gebruikt voor herstel en verificatie.
Meta heeft gebruikers eerder geadviseerd om ongevraagde beveiligingsberichten als een waarschuwingssignaal te zien en om het delen van inloggegevens via externe sites te vermijden. Het bedrijf heeft ook aanbevolen dat gebruikers verdachte e-mails en berichten melden via platformtools waar mogelijk.
Instagram zei dat het probleem met het resetten van het wachtwoord is opgelost. Het incident benadrukt hoe veranderingen of zwaktes in accountherstelsystemen tot brede bezorgdheid kunnen leiden, vooral wanneer ze samenvallen met afzonderlijke meldingen van gelekte data die online circuleren.