Instagram爆发重大资安事件,约1750万名用户个资在暗网流传
据多家国外媒体报道,Instagram近日发生重大资安外泄事件,约1750万名用户的敏感个人资料遭到窃取,并已在暗网(Dark Web)大规模流通,引发全球对隐私与帐号安全的高度警惕。
资安公司Malwarebytes在报告中指出,这次外泄的数据库内容极为完整,包含用户名称(Usernames)、电子邮件(Email addresses)、电话号码(Phone numbers)以及实体地址(Physical addresses)。这些关键资讯一旦落入不法分子之手,极易被用来发动身份盗用、网络钓鱼及社交工程攻击,对受害者构成长期风险。
Malwarebytes进一步证实,该被窃数据库已在暗网交易市场活跃流通,全球各地的犯罪分子都可轻易取得。当前,已有大量用户在网络论坛反映,在未进行任何操作的情况下,却频繁收到看似“合法的”Instagram密码重设通知。资安专家指出,这很可能代表黑客正利用外泄资料尝试进行帐号劫持。
外媒提醒,Instagram在全球拥有超过20亿名活跃用户,本来就是网络犯罪集团的首要攻击目标。若用户收到来自Instagram的密码重设邮件或通知,但并非本人发起请求,几乎可视为已被这波攻击锁定。
针对这波黑客行动,Malwarebytes也指出,Instagram App内建了**“真伪验证功能”,可用来确认邮件是否来自官方。用户可依下列步骤查核:进入个人档案**→点选右上角三条线→账号中心(Accounts Center)→密码和帐号安全(Password and security)→最近收到的电子邮件(Recent emails)。若Instagram系统因异常而寄出安全通知,都会记录在此清单中;若找不到对应记录,则极可能是钓鱼邮件,应立即删除,切勿点击任何链接。
此外,国外资安专家强烈建议采取三项进阶防护:
一是启用双重验证(2FA),并优先使用验证App而非短信(SMS),因为外泄资料中已含电话号码,黑客可能以SIM卡劫持拦截验证码;
二是更换全新高强度且不与其他平台重复的密码;
三是持续保持警觉,防范黑客利用泄漏的邮箱或电话发动更精密的社交工程诈骗,切勿向任何人透露验证码。
