Un nou scandal de securitateLovește Instagram, ridicând semne de întrebare privind modul în care platforma gestionează datele utilizatorilor. În centrul atenției se află un volum impresionant de informații personale, atribuit rețelei sociale deținută de Meta, care a ajuns pe dark web și a fost pus în circulație ilegală pentru suma de câteva sute de euro. Deși incidentul nu pare, în mod oficial, o breșă clasică în sistemele interne ale companiei, riscurile pentru utilizatori sunt departe de a fi reduse, iar speculațiile persistă despre modul în care datele au fost colectate și despre posibilele implicări ale API-urilor platformei.
Un volum uriaș de date ajuns pe dark web, fără ca Meta să fi confirmat oficial un incident larg
Informațiile referitoare la această scurgere masivă de date au fost făcute publice de către compania de securitate Malwarebytes, care a indicat că pe dark web circulă un pachet conținând datele personale a 17,5 milioane de utilizatori Instagram. În acest pachet se regăsesc nume de utilizatori, adrese de e-mail, numere de telefon, adrese fizice și alte informații sensibile, susceptible să fie folosite pentru atacuri de tip phishing sau pentru preluarea frauduloasă a conturilor. Ce ridică însă și mai multe întrebări este faptul că Meta a refuzat să confirme oficial dacă într-adevăr a avut loc o breșă de amploare în sistemele sale, ceea ce a alimentat zvonurile despre un posibil „incident din 2024” legat de exploatarea unor vulnerabilități ale API-ului platformei.
Conform celor mai multe analize, nu s-a vorbit despre un atac direct asupra serverelor interne, ci mai degrabă despre colectarea unor date publice ori semi-publice, prin metode de scraping sau abuz de API. În practică, diferența tehnică nu schimbă riscul pentru utilizator: datele există și pot fi folosite pentru a crea scenarii de fraudă sofisticată, alimentând și mai mult preocupările legate de riscul de phishing și de compromiterea identității digitale.
Ce spune Meta și de ce explicațiile oficiale nu opresc scandalul
În ziua în care au apărut primele informații despre circulația acestor date, Meta a emis o declarație în care susținea că a remediat o vulnerabilitate care permitea solicitarea frauduloasă a e-mailurilor de resetare a parolei pentru anumite conturi. Compania a subliniat că „nu a avut loc o breșă a sistemelor” și a recomandat utilizatorilor să ignore e-mailurile suspecte de resetare, afirmând totodată că „conturile sunt în siguranță”. Cu toate acestea, declarația nu a reușit să stingă întrebările publicului sau ale experților în securitate, din moment ce un set de date – de-a lungul timpului – poate circula și proveni din surse diferite.
Mai mult, unele surse din sectorul tech susțin că aceste informații provin de pe forumuri de tip data-leak și pot fi fie o consecință a unui incident mai vechi, fie un alt tip de expunere, mai puțin vizibilă, dar tot atât de riscantă pentru cei afectați. În cazul în care aceste date sunt dintr-un incident din 2024, modul în care au fost colectate și distribuite ar putea fi diferit de cel al unei breșe interne clasice, însă consecințele pentru utilizatori rămân aceleași: posibilitatea ca aceste informații să fie folosite pentru a arunca în luptă mesaje de phishing extrem de credibile, menite să preia controlul asupra conturilor.
Obligațiile legale de notificare și responsabilitatea companiilor în astfel de situații
În Uniunea Europeană, legislația GDPR stipulează clar responsabilitatea companiilor de a raporta orice încălcare gravă a securității datelor către autorități în cel mult 72 de ore de la momentul constatării incidentei. În cazuri în care încălcarea poate genera riscuri pentru drepturile și libertățile persoanelor, utilizează inclusiv notificarea directă către utilizatori trebuie făcută fără întârziere. În situația actuală, dacă se confirmă că datele au fost obținute prin exploatarea API-urilor sau expunerea unor informații din surse publice, întrebarea rămâne dacă Meta a avut datoria legală să informeze utilizatorii și autoritățile în timp util.
Lipsa unei poziții clare din partea companiei poate alimenta acuzații de inconștiență sau neglijență, mai ales dacă se dovedește că incidentele au fost cauzate de defecte sau vulnerabilități care puteau fi prevenite. Dar în același timp, complexitatea situației și natura relativ semi-publică a datelor implicate complică orice judecată rapidă asupra responsabilităților.
Ce pot face utilizatorii pentru a se proteja acum
În fața acestor slăbiciuni majore, experiența arată că prioritatea nu trebuie să fie panicarea, ci măsurile rapide de apărare personală. Activează autentificarea în doi pași cu aplicații de autentificare, evitând soluțiile bazate pe SMS, care rămân vulnerabile la scenarii de tip SIM swap. Evită să dai click pe linkuri din mesaje sau e-mailuri de resetare pe care nu le-ai solicitat și verifică în mod regulat setările contului și dispozitivele conectate. Dacă primești e-mailuri suspecte, schimbă parola și revocă sesiunile active pe dispozitive necunoscute. La nivel de e-mail asociat contului, trebuie să fii și mai atent, pentru că dacă acesta este compromis, riscul de preluare a contului crește semnificativ.
Pe termen lung, această situație servește drept un reminder foarte clar: controlul asupra propriilor date digitale depinde în mare măsură de măsurile preventive pe care le iei. În condițiile în care platformele precum Instagram sunt, în esență, entități care gestionează volume uriașe de informații, responsabilitatea ta ca utilizator este să fii vigilent, să folosești toate uneltele de securitate disponibile și să nu te bazezi doar pe declarațiile companiilor. Într-o lume digitală din ce în ce mai complicată, protejarea datelor personale devine o prioritate, mai ales atunci când incidentele de securitate devin tot mai frecvente și mai sofisticate.
