ソーシャルメディア大手のMetaは日曜日、Instagramのパスワードリセットに関する脆弱性を確認した一方で、侵害は受けていないと否定した。これは、Instagramユーザーのデータがオンラインで流出したとの主張が出る中でのことだ。
同社がXで述べたところによると、すでに解消されたこの脆弱性により、第三者がInstagramユーザーに対してパスワードリセット要求を送信できていた。
「外部の第三者が一部のInstagramユーザーに対してパスワードリセット用メールを要求できてしまう問題を修正しました」と、Metaの広報担当者はSecurityWeekに語った。
同社はこの弱点に関する詳細をこれ以上共有していないが、Xでは多くのユーザーがそのようなメールを受け取ったと不満を述べていた。
長期間にわたって受け取っていたというユーザーもいれば、複数のMeta製品にまたがって受け取ったというユーザーもいた。また、最近のメッセージは「メーリングリスト」に送られたもので無視したというユーザーもいた。
「当社のシステムに侵害はなく、人々のInstagramアカウントは引き続き安全であることを皆さんにお伝えしたいと思います。これらのメールは無視していただいて構いません。混乱を招いたことをお詫びします」と、同担当者は述べた。
広告。続きを読むにはスクロールしてください。
Metaがデータ侵害を否定したのは、サイバーセキュリティ企業Malwarebytesが、1,750万件のInstagramアカウントに関連するデータがハッカーによってオンラインに流出したとユーザーに通知した直後だった。
同社はXで、「サイバー犯罪者が1,750万件のInstagramアカウントの機微情報を盗みました。これにはユーザー名、住所、電話番号、メールアドレスなどが含まれます」と述べた。
しかしMalwarebytesの投稿に対し、サイバーセキュリティの専門家らは、盗まれたとされる情報は新しいものではなく、2022年のデータ流出の一部だと指摘した。同じデータは2024年11月に脅威アクターによって再浮上したと、専門家らは述べている。
日曜日、データ侵害通知サービスHave I Been Pwnedは、脅威アクターが1,700万件超のエントリを含むデータセットをハッキングフォーラムで実際に共有したと警告した。
このデータセットには620万件のメールアドレスが含まれている。ユーザー名、表示名、アカウントID、位置情報データ、電話番号も流出した。
このデータはInstagramのパスワードリセット問題とは関連していないようで、InstagramのAPIを介して入手されたとされている。
Have I Been Pwnedは、「スクレイピングされたデータは、時期が重なっているにもかかわらず、プラットフォーム上で開始されたパスワードリセット要求とは無関係に見えます。パスワードやその他の機微データが侵害された証拠はありません」と記している。
※Metaの声明を追記しました。
関連: テキサスのガソリンスタンド企業でのデータ侵害により377,000人が影響
関連: 単一の脅威アクターに関連する大規模データ侵害が数十件
翻訳元: https://www.securityweek.com/instagram-fixes-password-reset-vulnerability-amid-user-data-leak/
