Negli ultimi giorni diversi utenti hanno ricevuto da Instagram una comunicazione automatica relativa al cambio della password dell’account. A questa segnalazione si è aggiunta, per molti, una mail proveniente dal servizio di monitoraggio delle violazioni informatiche Have I Been Pwned, che ha notificato la presenza di indirizzi email associati a una recente esposizione di dati collegata alla piattaforma.
La segnalazione di Have I Been Pwned
Secondo quanto indicato da , la violazione riguarda e risale a gennaio 2026. Il database coinvolto conterrebbe circa 17 milioni di record ottenuti tramite attività di scraping effettuate sfruttando un’API della piattaforma. Di questi, 6,22 milioni includerebbero un indirizzo email associato a un account.
I dati esposti comprendono nomi visualizzati, username, ID account e, in alcuni casi, informazioni geografiche. Per una parte dei profili risultano presenti anche numeri di telefono. Non emergono invece elementi che facciano pensare alla compromissione di password o di altre credenziali di accesso.
Nessun legame diretto con il reset delle password
Un punto rilevante evidenziato nella descrizione ufficiale della violazione riguarda l’assenza di collegamenti tra i dati raccolti e le richieste di reimpostazione della password inviate da Instagram nello stesso periodo. La coincidenza temporale tra le due comunicazioni ha generato confusione tra gli utenti, ma al momento non risultano prove che il reset delle password sia stato causato direttamente dal dataset circolato nei forum di hacking.
La raccolta dei dati sarebbe avvenuta tramite informazioni pubblicamente accessibili sui profili, arricchite in alcuni casi da contatti email e numeri di telefono. Questo tipo di esposizione, pur non includendo credenziali sensibili, aumenta il rischio di attività di phishing e di utilizzo improprio delle informazioni personali.
Cosa comporta l’esposizione dei dati
La presenza di indirizzi email e numeri di telefono associati a username e dati geografici consente una profilazione più accurata degli utenti coinvolti. Anche in assenza di password compromesse, questo scenario può facilitare tentativi di truffa mirati, messaggi ingannevoli o campagne di spam costruite su informazioni verosimili.
Le notifiche inviate da Have I Been Pwned hanno lo scopo di rendere consapevoli gli utenti dell’esposizione e di suggerire maggiore attenzione alle comunicazioni ricevute via email o messaggistica. Instagram, dal canto suo, non ha indicato evidenze di accessi non autorizzati agli account collegati ai dati segnalati, ma continua a raccomandare l’uso di password uniche e dell’autenticazione a due fattori per ridurre i rischi.
Aiutaci a crescere: lasciaci un like :)