1 月 11 日消息，安全公司 Malwarebytes 昨日警告称，该公司在暗网监控时发现了一起涉及 1750 万用户的 Instagram 数据泄露事件。

据介绍，此次泄露并非传统的服务器入侵，而是攻击者通过一个在 2024 年末可能未受保护的 API 端点，系统性地抓取了公开接口中的数据。注意到，泄露的信息包括用户的全名、电子邮件地址、电话号码以及位置数据，但不包含密码。

尽管密码未被泄露，但攻击者已经开始“武装化”利用这些数据。Ins 用户普遍反映收到了大量的密码重置通知邮件 —— 攻击者正利用 Instagram 自身的安全功能制造混乱，以创造机会冒充官方人员实施诈骗、钓鱼活动，或者尝试窃取登录凭证。

安全人员指出，电子邮件地址与电话号码同时泄露，为“SIM 卡交换攻击”（SIM swapping）创造了绝佳条件，即犯罪分子通过控制用户手机号，拦截双重验证（2FA）验证码。

截至目前，Instagram 的母公司 Meta 尚未对此事件发表任何公开声明，也未说明数据如何泄露或是否会直接通知受影响的用户。（问舟）