Instagram, kullanıcıların beklenmedik şifre sıfırlama e-postaları aldığını bildirmesinin ardından sistemlerinin ihlal edildiğini reddetti. Mesajlar, gerçek hesap kurtarma bildirimleri gibi göründüğünde, hesap bilgilerinin ele geçirilmiş olabileceği endişesini uyandırdı. Instagram, bu etkinliğin, parola sıfırlama sürecini etkileyen teknik bir sorunla bağlantılı olduğunu, dahili sistemlere yetkisiz erişimden ziyade olduğunu söyledi.
Kullanıcılar, istemedikleri şifre sıfırlama e-postaları aldıklarını, bazı durumlarda kısa sürede birden fazla kez aldıklarını bildirdiler. Bildirimler, hesap sahiplerinin şifrelerini unuttuklarında erişimi yeniden kazanmalarına yardımcı olmak için tasarlanmış Instagram’ın standart kurtarma iş akışı üzerinden gönderildi. Instagram, e-postaların dış bir taraf tarafından tetiklendiğini belirtti, ancak bu hesapların ele geçirildiği veya şifrelerin açığa çıktığı anlamına gelmedi.
Şirkete göre, olay, başarılı giriş veya hesap tehlikesi olmadan şifre sıfırlama mesajlarının oluşturulmasına olanak tanıyan bir sorunu içeriyordu. Instagram, sorunu çözdüğünü ve sıfırlama fonksiyonunun normal davranışını geri getirdiğini söyledi. Şirket, kullanıcılara başlatmadıkları sıfırlama e-postalarını görmezden gelmelerini ve şüpheli mesajlarla etkileşimden kaçınmalarını tavsiye etti.
Raporlar, Instagram hesaplarına bağlı büyük bir veri setinin siber suç alanlarında reklam edildiği iddialarıyla birlikte ortaya çıktı. Bu tür listeler genellikle kişisel bilgilerin alındığını ve satışa veya dağıtıma açık olduğunu iddia eder. Instagram’ın ana şirketi Meta, sıfırlanan e-posta etkinliğiyle bağlantılı yeni bir ihlal kanıtı bulamadığını ve iki sorunun bağlantılı olmadığını doğruladı.
Instagram dahili sistemlerinin ihlal edilmediğini söylese de, beklenmedik şifre sıfırlama e-postaları kullanıcılar için güvenlik riskleri yaratabilir. Siber güvenlik uzmanları, saldırganların, kullanıcıları taciz etmek veya birinin mesajdaki bağlantıya doğrulamadan tıklama olasılığını artırmak için otomatik talepleri tekrar tekrar başlatma bildirimleri oluşturmak için kullanabileceğini belirtiyor. Tekrar tekrar hesap kurtarma girişimleri de kafa karıştırabilir, özellikle kullanıcılar hesaplarının doğrudan saldırı altında olduğunu düşünürse.
Güvenlik araştırmacıları ayrıca hesap kurtarma ile ilgili mesajların oltalama girişimlerinde sıkça kullanıldığını da belirtti. Sahte e-postalar, yasal sıfırlama bildirimlerini taklit edebilir ve kullanıcıları kimlik bilgilerini yakalamak için tasarlanmış sahte giriş sayfalarına yönlendirebilir. Sıfırlama e-postası gerçek olsa bile, kullanıcıların hesaplarına resmi Instagram uygulaması veya web sitesi üzerinden erişmeleri tavsiye edilir; beklenmedik mesajlardan gelen bağlantılara tıklamaları yerine.
Instagram, kullanıcıları önlem olarak hesap güvenlik ayarlarını gözden geçirmeye teşvik etti. Önerilen adımlar arasında güçlü ve benzersiz bir şifre kullanmak, çok faktörlü kimlik doğrulamayı etkinleştirmek ve yabancı giriş faaliyetlerinin kontrol edilmesi yer alır. Kullanıcılara, hesaplarıyla ilişkili e-posta adresi ve telefon numaralarının doğru olduğunu doğrulamaları tavsiye edilir; çünkü bu bilgiler kurtarma ve doğrulama için kullanılır.
Meta daha önce kullanıcılara istenmeyen güvenlik mesajlarını uyarı işareti olarak görmelerini ve giriş bilgilerini üçüncü taraf siteler üzerinden paylaşmaktan kaçınmalarını tavsiye etmişti. Şirket ayrıca kullanıcıların mümkün olduğunda şüpheli e-postaları ve mesajları platform araçları aracılığıyla bildirmelerini önerdi.
Instagram, şifre sıfırlama sorununun çözüldüğünü söyledi. Bu olay, hesap kurtarma sistemlerindeki değişiklikler veya zayıflıkların, özellikle çevrimiçi dolaşan ayrı sızdırılmış veri raporlarıyla örtüştüğünde, yaygın endişelere yol açabileceğini ortaya koyuyor.