Instagram数据泄露：1750万用户信息在暗网出售

一起大规模Instagram用户数据泄露事件近日在暗网论坛曝光，泄露事件涉及1750万Instagram用户的数据，泄露时间大约在2024年底，泄露内容包括Instagram用户的用户名、邮箱、电话号码以及全球范围内的部分位置信息。

一位名为“Solonik”的黑客于2026年1月7日在暗网数据泄露论坛BreachForums上发布了相关帖子，帖子标题为“INSTAGRAM.COM 1700万全球用户——2024年API泄露”，其声称这些数据是2024年最后三个月通过公共API和特定国家/地区的数据源最新抓取的。帖子公开的数据字段包括用户名、完整邮箱地址、电话号码和部分实际地址，帖子中可以看到示例样本记录。

此次数据泄露事件发生后，Instagram用户一片混乱。自1月8日起，用户陆续收到来自Instagram官方域名（[email protected]）的未经请求的密码重置邮件。

安全专家现在证实，重置电子邮件很可能是此次数据泄露的直接结果，威胁行为者可能利用这些数据来触发帐户恢复流程或掩盖有针对性的网络钓鱼攻击。在网络威胁日益加剧的情况下，Instagram用户容易遭受网络钓鱼、身份盗窃和账户盗用等攻击。

Instagram已正式回应部分用户收到可疑密码重置邮件的担忧。该公司在X（原Twitter）上发布声明解释说，他们已修复一个技术问题，该问题允许外部人员触发这些重置请求。

Instagram强调，此次事件未发生任何安全漏洞，其系统依然完好无损，这意味着用户账户和数据并未受到损害。该公司建议用户忽略密码重置邮件，并对由此造成的任何困惑或恐慌表示歉意。

泄露了哪些数据

暗网发布的帖子曝光了此次Instagram数据泄露事件，揭示了可能是2024年Instagram API接口暴露而被爬取的结构化JSON和TXT文件。该数据集包含1750万用户的关键个人信息：

• 用户名和全名
• 电子邮件地址
• 国际电话号码
• 部分物理地址
• 用户ID和联系信息

这些信息的组合使得Instagram用户特别容易受到身份盗窃、网络钓鱼和社会工程攻击。

目前被盗数据库正在暗网市场上积极交易，使全球网络犯罪分子都能获取该数据库。网络犯罪分子得以发起定向攻击，因此出现大量密码重置垃圾邮件攻击受害者的迹象。多名用户报告称收到了合法的Instagram密码重置通知，这清楚地表明，威胁行为者正试图利用泄露的信息劫持帐户。

黑客是如何发动攻击的

网络安全研究人员称，这些数据是在2024年末通过“API泄漏”获取的，绕过了标准安全措施，在全球范围内提取了用户个人资料。

“Solonik”在论坛上吹嘘这些数据的“新鲜度”，且写明数据来源与之前Meta数据泄露事件中出现的API滥用模式相符，当时由于接口安全漏洞，数百万用户的数据遭到泄露。因此此次数据泄露很可能源于Instagram API漏洞或第三方服务缺陷，数据于2024年被收集，并于本周公开泄露。

此次攻击本身被归类为“数据抓取”（即通过公共接口自动收集数据），而非直接入侵Instagram的核心服务器。然而，此次攻击规模之大表明Instagram的速率限制或隐私保护措施存在系统性缺陷，使得攻击者能够查询数百万个账户而不被发现。

Instagram用户面临的风险

此次事件的危险之处在于，无需密码即可造成严重破坏。只要掌握了用户名、电子邮件地址、电话号码和实际地址，老练的网络犯罪分子就能发动多种破坏性极强的攻击。

网络犯罪分子可以利用泄露的电话号码进行“SIM卡交换”，诱使电信运营商将受害者的电话号码转移到攻击者控制的新设备上，从而绕过双因素身份验证保护。

网络犯罪分子还可以冒充Instagram客服人员，利用泄露的个人信息建立虚假信誉，诱骗用户交出敏感数据。他们还可以针对特定用户发起定制化的网络钓鱼活动，利用地址和电话号码等信息，使欺骗行为看起来更具针对性和合法性。

以下是Instagram用户有可能遭受的网络安全风险：

• 网络钓鱼攻击：伪造的Instagram/Meta电子邮件或短信诱骗登录。
• 账户劫持攻击：利用真实信息进行社会工程攻击。
• 凭证重用攻击：密码如果与其他地方的密码重复，则可能导致Instagram账户被盗。
• 身份盗窃攻击：地址信息可能被用于实际诈骗或人肉搜索。

Instagram用户立即采取的保护措施

最直接的办法是忽略任何未经请求的密码重置邮件，而是通过应用程序或网站手动登录Instagram自行更改密码。

启用多重身份验证，请使用身份验证器应用而非短信验证，因为短信验证可能因SIM卡被盗用而受到攻击。更新您的恢复信息，确保您的电子邮件地址和电话号码是最新的且安全。

以下是本站呼吁为保护账户应立即采取的行动：

• 通过应用程序或短信启用双因素身份验证(2FA)。
• 立即重置Instagram密码，使用独一无二且强度高的密码。
• 仔细检查登录活动，并注销未知会话。
• 在设置中撤销第三方应用程序的访问权限。
• 密切关注电子邮件/短信中的钓鱼信息，切勿点击可疑链接。
• 运行杀毒软件扫描，并考虑使用密码管理器。