擁有廣大全球用戶的社群平台Instagram近日陷入資安「羅生門」事件,根據科技媒體《TechCrunch》報導,許多用戶莫名收到可疑的密碼重置請求郵件,引發帳號及個資安全恐慌。知名防毒軟體公司Malwarebytes率先發難,指控這是因為Instagram高達1750萬筆用戶敏感個資遭竊,目前正於暗網上兜售;然而,Instagram母公司Meta隨後緊急發出聲明,嚴正否認平台遭到駭客入侵或數據外洩,堅稱整起事件只是一個允許外部第三方觸發密碼重置郵件的「技術問題」,並表示已經修復。
綜合外媒報導,這起事件的導火線始於許多Instagram用戶在未主動申請的情況下,收到官方寄發的「重置您的密碼」電子郵件。針對此異常現象,資安軟體公司Malwarebytes上週五在社群平台Bluesky上發布一則令人震驚的消息,並附上相關電子郵件的截圖。
Malwarebytes在貼文中直指:「網路犯罪分子竊取了1,750萬個Instagram帳戶的敏感資訊,包括使用者名稱、實際地址、電話號碼、電子郵件地址等。」該公司更進一步示警,這些被盜的數據「正在暗網上出售,並可能被網路犯罪分子濫用。」此消息立即在科技圈與用戶間引發軒然大波,無不擔憂自己的隱私數據落入不法分子手中。
面對資安公司的嚴厲指控,Instagram隨後選擇在另一個社群平台X(前身為Twitter)上做出回應,而非自家的Instagram或Threads平台。Instagram官方帳號發文澄清,平台並未發生任何數據洩露事件(no breach)。
針對用戶收到莫名郵件的狀況,Instagram解釋,他們已經「修復了一個允許外部第三方為某些人請求密碼重置電子郵件的問題」;然而,對於這個所謂的「外部第三方」是誰、以及該技術漏洞的具體細節,Instagram在聲明中語焉不詳,並未提供更多資訊。
Instagram在貼文的最後試圖安撫用戶:「您可以忽略這些電子郵件—對於造成的任何困惑,我們深感抱歉。」
儘管Instagram試圖淡化此事件的嚴重性,將其定調為已修復的技術瑕疵,但Malwarebytes提出的指控涉及高達1750萬筆包含「實際地址」在內的高度敏感個資,這與Instagram輕描淡寫的態度形成強烈對比。在雙方各執一詞的情況下,用戶的數據安全究竟是否無虞,仍蒙上一層陰影,外界也密切關注後續是否有更多證據浮上檯面。