Naléhavé varování pro více než 17,5 milionu instagramových účtů. Obří únik dat může vést k resetování hesla
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Miliony uživatelů Instagramu čelí zvýšenému riziku útoků na účty. Do oběhu se dostala rozsáhlá databáze osobních údajů, která spustila vlnu pokusů o převzetí profilů.
Instagram řeší bezpečnostní incident, a ne zanedbatelný. Masivní únik dat, k němuž dle zjištění redakce Mobify došlo, umožňuje podvodníkům útočit na konkrétní uživatele Instagramu a posílat hromadné žádosti o reset hesla. Tváří se oficiálně, jako kdyby pocházely od aplikace. Kdo klikne, přijde o svá data.
Uniklá data obsahují dost soukromých informací
Ze získaných informací bezpečnostních expertů víme, že došlo k úniku databáze, která obsahuje údaje asi 17,5 milionu instagramových účtů. A nejde jen o veřejná uživatelská jména. V souborech se mají nacházet celá jména, ověřené e-mailové adresy, telefonní čísla, interní ID účtů, země původu a z části i informace o poloze.
Data se objevila na hackerských fórech, kde se s podobnými databázemi běžně obchoduje. Jak uvedl theSun, získána měla být zneužitím rozhraní API Instagramu v roce 2024. Pro vysvětlení – systém umožnil stáhnout mnohem víc informací, než by kdy měl dovolit, a to ve velkém objemu bez včasného zablokování.
Uživateli přijde žádost o obnovu heslo nebo kód
Nutno říci, že samotná uniklá databáze neobsahuje hesla. Přesto je extrémně nebezpečná. Útočníci mají v ruce ověřené kontaktní údaje a mohou masově spouštět žádosti o obnovu hesla. Chtějí u lidí vyvolat paniku a donutit je kliknout na falešný odkaz či říct ověřovací kód, informoval Forbes.
V praxi to vypadá tak, že vám přijde e-mail, který se tváří jako oficiální zpráva od Instagramu. Často obsahuje tlačítko „Obnovit heslo“ nebo výzvu „Dejte nám vědět, pokud jste o změnu nežádali“. A lidí zkrátka kliknout, aniž by zkontrolovali detaily odesílatele.
Uniklé údaje mohou posloužit nejen k phishingu, ale i k dalším a složitějším útokům. Typickým příkladem je SIM swapping (převzetí telefonního čísla), kdy útočník přesvědčí operátora, aby číslo převedl na jeho SIM kartu. Pokud máte dvoufaktorové ověření přes SMS, účet je rázem v ohrožení.
Co by měl udělat každý uživatel hned teď?
Naše základní rada zní – nepanikařit a neklikat. Pokud přijde e-mail o resetu hesla a vy jste ho nežádali, jednoduše ho ignorujte. Zkontrolujte si také, zda máte zapnuté dvoufaktorové ověřování, ideálně tedy přes autentizační aplikaci, ne přes SMS.
Doporučujeme také zabezpečit e-mailový účet jiným heslem než Instagram. Pokud by se útočník dostal k e-mailu, otevře si tím cestu k dalším službám. V případě podezření, že už byl účet narušen, je oficiální cestou stránka instagram.com/hacked, kde je možné zahájit obnovovací proces.
Zdroje
Autorský komentář Lukáše Altmana