Instagramは、ユーザーに対して依頼していないパスワードリセットメールが送信されたとの報告を受け、同社のシステムが侵害されたわけではないと明確にしました。
同社によると、これらの事案は、現在は修正済みの脆弱性を外部の第三者が悪用したことが原因で、ユーザーアカウントを侵害することなく、不正なパスワードリセット要求を送れる状態になっていたとしています。
このソーシャルメディアプラットフォームは、ユーザーアカウントは安全なままであり、予期しないリセットメールは無視して問題ないと強調しました。
この声明は、約1,750万件のInstagramアカウントに影響する大規模なデータ漏えいを受けたもので、ユーザー名、メールアドレス、電話番号、位置情報の一部といった機微な情報がダークウェブのフォーラムで宣伝されていました。
公式声明でInstagramは、「外部の第三者が一部の人に対してパスワードリセットメールを要求できてしまう問題を修正した」と認めました。
同社は「当社システムへの侵害はない」と強調し、ユーザーに対してInstagramアカウントは「安全である」と安心させました。
この欠陥により攻撃者がパスワードを変更したり不正アクセスしたりできたわけではなく、脅威アクターが嫌がらせやソーシャルエンジニアリングの手口として、正規のパスワードリセットメールを送信させることが可能になっていたというものです。
Instagramは、この期間に受け取った依頼していないパスワードリセットメールは無視するようユーザーに助言しています。
セキュリティ専門家は、二要素認証の有効化、強力で一意のパスワードの使用、最近のセキュリティ事案に言及して正当性を装うフィッシングの試みに警戒することなど、追加の防御策を講じるよう推奨しています。
この脆弱性の開示時期が、1,750万件のデータセットの出現と重なったことで、脅威アクターが漏えいした連絡先情報を利用して特定のユーザーを狙った可能性があるとの懸念が高まっています。
Instagramは中核インフラが侵害されていないとしていますが、セキュリティ専門家は、大規模なデータスクレイピングとプラットフォームの脆弱性が組み合わさることで、ユーザーに重大なリスクをもたらすと警告しています。
この事案は、多層的なセキュリティ対策の重要性と、個人を特定できる情報が露出した状態でサイバー犯罪フォーラム上に流通することによるリスクを浮き彫りにしています。
ユーザーには、アカウントのセキュリティ設定を見直し、不審な活動がないか監視することが推奨されます。
翻訳元: https://cyberpress.org/instagram-confirms-no-system-breach/