Dünya genelinde yaklaşık 17,5 milyon Instagram kullanıcısının kişisel bilgilerini kapsayan kapsamlı bir veri ihlali yaşandığı öne sürüldü. Siber güvenlik araştırmacılarının tespitlerine göre, sızdırılan veriler şu anda dark web üzerindeki hacker forumlarında paylaşıldı. İddialara göre veri seti, “Solonik” takma adını kullanan bir saldırgan tarafından “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” başlığıyla bir forumda yayınlandı. JSON ve TXT formatlarında paylaşılan dosyaların, 2024 yılının sonlarında yaşanan bir API açığı üzerinden elde edildiği ileri sürüldü.
DESTEK EKİBİ GİBİ KANDIRIYORLAR
Uzmanlar, saldırganların Instagram’ın halka açık arayüzlerini kullanarak otomatik veri kazıma (scraping) yöntemiyle milyonlarca kullanıcı profiline ulaştığını belirtildi. Sızdırılan bilgiler arasında yalnızca kullanıcı adları değil; tam isimler, doğrulanmış e-posta adresleri, telefon numaraları, kullanıcı ID’leri ile ülke ve kısmi konum verilerinin de bulunduğu ifade edildi. Söz konusu sızıntının ardından çok sayıda kullanıcının izinsiz şifre sıfırlama bildirimleri aldığı, dolandırıcılık girişimlerinde ciddi bir artış yaşandığı bildirildi. Şifrelerin doğrudan ele geçirilmediği belirtilse de, e-posta ve telefon bilgilerinin birleşiminin SIM kart kopyalama ve gelişmiş sosyal mühendislik saldırıları için yeterli olduğu vurgulandı. Siber suçluların, kendilerini Instagram destek ekibi gibi tanıtarak kullanıcıları kandırmaya çalıştığı, iki faktörlü doğrulama kodlarını ele geçirmek için kişisel bilgileri kullandığı ifade edildi.
GÜVENLİK ÖNLEMLERİ YETERSİZ
Olayın, Instagram sunucularına doğrudan bir siber saldırıdan ziyade, API güvenlik önlemlerindeki yetersizlikler nedeniyle gerçekleştiği değerlendirildi. Bu durumun, hız sınırlaması ve gizlilik korumalarında ciddi açıklar olabileceğini gösterdiği kaydedildi. 10 Ocak 2026 itibarıyla Meta cephesinden iddialara ilişkin resmi bir açıklama yapılmazken, siber güvenlik uzmanları tüm kullanıcıların SMS yerine kimlik doğrulama uygulamasıyla çok faktörlü kimlik doğrulamayı (MFA) aktif hale getirmesini ve talep edilmemiş şifre sıfırlama mesajlarını dikkate almamasını önerdi.
Kaynak: Hedef Gazetesi – Aydın Haberleri – aydinhedef.com.tr
