Instagram : le flou autour de l’origine des 17 millions de comptes affectés par la fuite de données
La situation est floue du côté d'Instagram : Meta vient de corriger une faille qui permettait de spammer les demandes de réinitialisation de mot de passe sur Instagram. Dans le même temps, un pirate a publié une base de données avec des informations personnelles sur 17 millions d'utilisateurs. Que s'est-il passé ? Voici ce que l'on sait.
Sommaire
Une vague d'e-mails pour reset les mots de passe Instagram
Tout a commencé lorsque de nombreux utilisateurs ont signalé recevoir des vagues e-mails correspondant à une demande de réinitialisation de mot de passe qu'ils n'avaient jamais sollicitée. Cela est en réalité lié à un bug sur Instagram permettant de déclencher massivement ces envois.
Un porte-parole de Meta a déclaré à BleepingComputer : "Nous avons corrigé un problème qui permettait à une partie externe de demander des e-mails de réinitialisation de mot de passe pour certains utilisateurs d'Instagram."
Cependant, le timing de cet événement coïncide avec la mise en ligne d'une archive de données d'utilisateurs Instagram. Pour autant, Meta affirme qu'il n'y a pas à s'inquiéter malgré la confusion des utilisateurs : "Nous tenons à rassurer tout le monde : il n'y a eu aucune violation de nos systèmes et les comptes Instagram des gens restent sécurisés."
17 millions d'utilisateurs Instagram impactés
Sur BreachForums, un pirate informatique a publié un nouveau post pour proposer, gratuitement, une base de données avec des informations sur 17 millions d'utilisateurs Instagram. Selon l'auteur du post, il s'agit de données obtenues via l'API d'Instagram et datant de 2024. Néanmoins, certaines personnes pensent plutôt que c'est lié à un incident de scraping survenu en 2022, bien que Meta affirme n'avoir connaissance d'aucun incident lié à son API ces dernières années. C'est donc assez flou sur ce point et il pourrait s'agir d'une simple compilation.
Pour autant, la base de données est réelle et son analyse révèle la présence de :
- 17 015 503 identifiants Instagram (ID)
- 16 553 662 noms d'utilisateurs
- 12 418 006 noms réels
- 6 233 162 adresses e-mail
- 3 494 383 numéros de téléphone
- 1 335 727 adresses physiques
Vous l'aurez compris : pas de mot de passe dans cette base de données. De plus, il est important de préciser que tous les enregistrements ne sont pas complets ! Par exemple, dans certains cas, il n'y a que seulement un ID et un pseudo, ce qui ne permet pas d'en faire grand-chose...
Quels risques pour les utilisateurs ?
Certains utilisateurs sont plus directement exposés par cette fuite de données lorsqu'il y a leur adresse e-mail ou leur numéro de téléphone. Comme d'habitude, les cybercriminels pourraient utiliser ces informations pour mener des attaques de phishing et de smishing (hameçonnage par SMS).
Si vous recevez un code de sécurité ou un lien de réinitialisation sans l'avoir demandé, la consigne est simple : ignorez-le et supprimez le message. Et puis, si vous ne l'avez pas encore, activez l'authentification à double facteur (2FA) sur votre compte Instagram.
De son côté, Troy Hunt a ajouté des enregistrements de cette fuite Instagram à la base globale de son service Have I Been Pwned. Il a ajouté ceux dont l'adresse e-mail de l'utilisateur est présente, soit 6,2 millions de comptes.
Vous pouvez donc consulter le site haveibeenpwned.com et spécifier votre adresse e-mail pour savoir si vous êtes affectés. Cette fuite de données, bien qu'importante, reste une bouchée de pain en comparaison des 3 milliards d'utilisateurs mensuels à l'échelle mondiale.
Qu'en pensez-vous ?
Image d'illustration générée par IA.
