Diciassette milioni e mezzo di account Instagram compromessi, con i relativi dati personali che già circolano gratuitamente nei forum frequentati da cybercriminali. A confermare la violazione è la società di sicurezza Malwarebytes, che ha individuato il database durante le proprie operazioni di sorveglianza del dark web.
Non si tratta di informazioni in vendita al miglior offerente: il pacchetto è stato pubblicato gratuitamente, una scelta che amplifica esponenzialmente il rischio per gli utenti coinvolti.
Il dataset contiene un campionario completo di informazioni sensibili: nomi utente, nomi reali, indirizzi email, numeri di telefono, indirizzi fisici parziali e altri dettagli di contatto. Materiale prezioso per chi orchestra campagne di phishing, tentativi di furto d’identità o attacchi mirati.
La violazione sarebbe riconducibile a una falla nelle API di Instagram risalente al 2024. Le API (Application Programming Interface) sono i canali attraverso cui applicazioni e servizi terzi accedono ai dati di una piattaforma. Quando non sono adeguatamente protette, possono trasformarsi in porte d’ingresso per chi vuole estrarre informazioni su larga scala. I dati, però, sono riemersi solo in questi giorni.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Il silenzio di Menlo Park
Mentre il database viaggia indisturbato tra i canali del cybercrimine, da Meta non arriva alcuna conferma ufficiale. Le richieste di commento sono finora rimaste senza risposta, le pagine dedicate alla sicurezza non riportano aggiornamenti, i canali social dell’azienda tacciono. Un copione già visto, che solleva interrogativi sulla trasparenza delle grandi piattaforme nei confronti dei propri utenti.
Il silenzio stride particolarmente nel contesto europeo, dove il GDPR impone obblighi stringenti di notifica in caso di violazioni che mettano a rischio i diritti degli interessati.
Se il breach fosse confermato e riconducibile a negligenze nella protezione dei dati, Meta potrebbe trovarsi esposta a sanzioni non trascurabili. Ma prima ancora delle conseguenze legali, c’è una questione di fiducia: milioni di persone affidano quotidianamente le proprie informazioni personali a Instagram, e il minimo che possono aspettarsi è di essere informate quando qualcosa va storto.
Phishing e reset password: come funziona la trappola
Gli esperti di sicurezza avvertono che i dati trapelati verranno probabilmente sfruttati per campagne di phishing.
Il meccanismo è tanto semplice quanto efficace: disponendo di email, numeri di telefono e altri dettagli personali, gli attaccanti possono confezionare messaggi credibili che invitano a reimpostare la password o a verificare la propria identità.
Alcuni utenti stanno già ricevendo notifiche di reset password da Instagram. Il problema è che distinguere le comunicazioni legittime da quelle fraudolente diventa estremamente difficile quando i criminali dispongono delle stesse informazioni della piattaforma.
È il paradosso della sicurezza nell’era delle violazioni di massa: anche i meccanismi pensati per proteggere gli account possono trasformarsi in vettori di attacco.
Instagram, non è un incidente isolato
Chi segue le vicende di Meta sa che questo non è un fulmine a ciel sereno. Nel 2021 un leak aveva esposto i dati di 533 milioni di utenti Facebook. Prima ancora, lo scandalo Cambridge Analytica aveva rivelato vulnerabilità ben più profonde nel modo in cui la piattaforma gestiva le informazioni personali.
Il pattern dunque si ripete: violazione, silenzio iniziale, minimizzazione, promesse di miglioramento. La questione trascende il singolo episodio e investe il modello stesso delle piattaforme social, costruite per raccogliere e monetizzare quantità enormi di dati personali ma purtroppo incapaci di garantirne la protezione.
Iscriviti alla newsletter di TechTalking
Per chi teme di essere coinvolto, le raccomandazioni sono le solite: cambiare la password di Instagram, attivare l’autenticazione a due fattori, diffidare di qualsiasi comunicazione che richieda di cliccare su link o inserire credenziali. Precauzioni sensate ma che, come sempre, scaricano sull’utente finale la responsabilità di rimediare a falle che originano altrove.
Fonte: CyberInsider
