Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Instagram denies breach amid claims of 17 million account data leak

2 minute de lecture

Mis à jour :

Affaire de fuite de données Instagram : Déni de la plateforme, réalité de la collecte d’informations

Instagram dément toute compromission de ses systèmes suite à l’annonce d’une potentielle fuite de données de plus de 17 millions de comptes. Meta, la société mère, affirme avoir corrigé un bug ayant permis à des acteurs malveillants de demander massivement des réinitialisations de mot de passe. La plateforme assure que les comptes restent sécurisés et que les emails de réinitialisation non sollicités peuvent être ignorés.

La rumeur a pris de l’ampleur suite à une alerte de Malwarebytes auprès de ses clients, signalant le vol de données de 17,5 millions de comptes. Les informations prétendument divulguées sur des forums de piratage incluent des numéros de téléphone, noms d’utilisateur, noms réels, adresses physiques, adresses e-mail et identifiants Instagram. Certains chercheurs avancent que ces données pourraient provenir d’incidents de scraping antérieurs, potentiellement en 2022, bien que Meta ne confirme aucune compromission d’API durant ces périodes. L’entreprise reconnaît des incidents de scraping passés, comme un bug en 2017 ayant exposé des informations de près de 6 millions de comptes. Il reste incertain si la fuite actuelle est une compilation de données anciennes et récentes.

Points clés :

  • Déni de Instagram : La plateforme affirme qu’il n’y a pas eu de nouvelle brèche de sécurité.
  • Bug corrigé : Un problème permettant des demandes massives de réinitialisation de mot de passe a été résolu.
  • Données prétendument divulguées : Informations personnelles de plus de 17 millions de comptes Instagram seraient disponibles en ligne.
  • Origine incertaine des données : Les chercheurs débattent de l’origine et de la date des incidents ayant mené à la collecte de ces données, certaines théories pointant vers des événements passés (2017, 2022).
  • Pas de mots de passe divulgués : La bonne nouvelle est que les informations compromises ne contiennent pas de mots de passe.

Vulnérabilités :

  • Bug de réinitialisation de mot de passe : Permettait des requêtes en masse pour des emails de réinitialisation. (Pas de CVE spécifique mentionné dans l’article).
  • API Scraping : L’article mentionne des incidents passés et la possibilité que les données proviennent de scraping via des API, bien qu’aucune API spécifique exploitée récemment ne soit confirmée avec un CVE.

Recommandations :

  • Vigilance face au phishing : Les utilisateurs doivent se méfier des attaques de phishing, smishing et d’ingénierie sociale qui pourraient utiliser ces données.
  • Ignorer les notifications non sollicitées : Ne pas répondre aux emails ou SMS de réinitialisation de mot de passe ou codes de sécurité Instagram si la procédure n’a pas été initiée par l’utilisateur.
  • Activer l’authentification à deux facteurs : Il est fortement recommandé d’activer cette mesure de sécurité supplémentaire pour protéger les comptes.

Source

Vous pourriez aimer