Pesquisadores de segurança relataram um conjunto de dados de cerca de 17,5 milhões de registros de usuários do Instagram circulando em fóruns underground, enquanto o Instagram negou uma violação da plataforma, mas reconheceu um bug que permitia a terceiros disparar e-mails de redefinição de senha. Empresas alertam que os dados de contato expostos impulsionaram tentativas de phishing e de invasão/apropriação de contas.

Durante a semana de 11 a 17 de jan., monitores de cibersegurança detectaram um grande conjunto de dados — cerca de 17,5 milhões de registros de usuários do Instagram — sendo negociado em fóruns subterrâneos e canais de notificação. O Instagram afirmou que não houve violação da plataforma, mas confirmou uma falha de segurança que poderia permitir a atores externos disparar e‑mails de redefinição de senha ou, de outra forma, colher dados de contato vinculados a contas, criando uma via para ataques de engenharia social direcionados. Fornecedores de segurança relataram abuso rápido: atacantes usaram e‑mails e números de telefone expostos para elaborar campanhas de phishing convincentes, iniciar redefinições de senha, interceptar códigos via SIM‑swap ou técnicas de correio de voz, e perseguir sequestros de conta. A circulação do conjunto de dados possibilitou tanto campanhas de spray em massa quanto intrusões priorizadas contra alvos de alto valor, motivando alertas de proteção de conta por parte de pesquisadores. Observadores recomendaram autenticação multifator mais forte que SMS, monitoramento de atividades de redefinição de senha não autorizadas e reporte rápido de redefinições suspeitas. O incidente reforça como metadados de contato coletados — mesmo na ausência de vazamentos completos de credenciais — podem ser transformados em armas para phishing, captação de credenciais e esquemas de SIM‑swap que escalam para fraudes mais amplas e comprometimento de contas em plataformas sociais e financeiras.