Meta a déclaré avoir corrigé une faille qui permettait à des parties externes de déclencher des e-mails de réinitialisation de mot de passe et a nié une violation de la plateforme après la circulation d'un ensemble de données prétendument contenant 17,5 millions d'enregistrements Instagram. Des analystes en sécurité ont averti que la vague d'e-mails de réinitialisation et la fuite de données alléguée amplifiaient le risque de phishing et de prise de contrôle de comptes.

Début janvier 2026, Meta a reconnu et corrigé une vulnérabilité qui permettait à certains acteurs externes de déclencher des e‑mails de réinitialisation de mot de passe Instagram ayant l'apparence d'être légitimes, après que des forums clandestins eurent diffusé un jeu de données prétendument contenant environ 17,5 millions d'enregistrements d'utilisateurs. Meta a nié une compromission de la plateforme et affirmé qu'il n'y avait aucune preuve d'exfiltration d'identifiants depuis ses systèmes, mais la société a conseillé aux utilisateurs d'activer l'authentification à deux facteurs via une application et de se méfier des messages de réinitialisation inattendus. Des chercheurs en sécurité et des intervenants en incidents ont averti que la combinaison d'enregistrements divulgués, même partiels ou agrégés, et d'e‑mails de réinitialisation authentiques augmentait l'efficacité des campagnes de phishing ciblées et de prise de contrôle de comptes. L'épisode a incité à fournir des recommandations aux organisations et aux utilisateurs pour surveiller l'activité des comptes, changer les mots de passe en cas de suspicion de réutilisation et valider les demandes de réinitialisation via des canaux officiels. Les forces de l'ordre et les équipes de sécurité suivent l'activité des forums et les tentatives connexes de bourrage d'identifiants, tandis que les défenseurs insistent sur une protection des comptes par couches et des processus de réponse rapide en cas de compromission suspectée.