Instagram

一起大规模Instagram用户数据泄露事件近日在暗网论坛曝光，泄露事件涉及1750万Instagram用户的数据，泄露时间大约在2024年底，泄露内容包括Instagram用户的用户名、邮箱、电话号码以及全球范围内的部分位置信息。 一位名为“Solonik”的黑客于2026年1月7日在暗网数据泄露论坛BreachForums上发布了相关帖子，帖子标题为“INSTAGRAM.COM 1700万全球用户——2024年API泄露”，其声称这些数据是2024年最后三个月通过公共API和特定国家/地区的数据源最新抓取的。帖子公开的数据字段包括用户名、完整邮箱地址、电话号码和部分实际地址，帖子中可以看到示例样本记录。 此次数据泄露事件发生后，Instagram用户一片混乱。自1月8日起，用户陆续收到来自Instagram官方域名（[email protected]）的未经请求的密码重置邮件。 安全专家现在证实，重置电子邮件很可能是此次数据泄露的直接结果，威胁行为者可能利用这些数据来触发帐户恢复流程或掩盖有针对性的网络钓鱼攻击。在网络威胁日益加剧的情况下，Instagram用户容易遭受网络钓鱼、身份盗窃和账户盗用等攻击。 Instagram已正式回应部分用户收到可疑密码重置邮件的担忧。该公司在X（原Twitter）上发布声明解释说，他们已修复一个技术问题，该问题允许外部人员触发这些重置请求。 We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure. You can ignore those emails — sorry for any confusion. — Instagram (@instagram) January 11, 2026 Instagram强调，此次事件未发生任何安全漏洞，其系统依然完好无损，这意味着用户账户和数据并未受到损害。该公司建议用户忽略密码重置邮件，并对由此造成的任何困惑或恐慌表示歉意。 泄露了哪些数据 暗网发布的帖子曝光了此次Instagram数据泄露事件，揭示了可能是2024年Instagram API接口暴露而被爬取的结构化JSON和TXT文件。该数据集包含1750万用户的关键个人信息： 用户名和全名 电子邮件地址 国际电话号码 部分物理地址 用户ID和联系信息 这些信息的组合使得Instagram用户特别容易受到身份盗窃、网络钓鱼和社会工程攻击。 目前被盗数据库正在暗网市场上积极交易，使全球网络犯罪分子都能获取该数据库。网络犯罪分子得以发起定向攻击，因此出现大量密码重置垃圾邮件攻击受害者的迹象。多名用户报告称收到了合法的Instagram密码重置通知，这清楚地表明，威胁行为者正试图利用泄露的信息劫持帐户。 黑客是如何发动攻击的 网络安全研究人员称，这些数据是在2024年末通过“API泄漏”获取的，绕过了标准安全措施，在全球范围内提取了用户个人资料。 “Solonik”在论坛上吹嘘这些数据的“新鲜度”，且写明数据来源与之前Meta数据泄露事件中出现的API滥用模式相符，当时由于接口安全漏洞，数百万用户的数据遭到泄露。因此此次数据泄露很可能源于Instagram API漏洞或第三方服务缺陷，数据于2024年被收集，并于本周公开泄露。 此次攻击本身被归类为“数据抓取”（即通过公共接口自动收集数据），而非直接入侵Instagram的核心服务器。然而，此次攻击规模之大表明Instagram的速率限制或隐私保护措施存在系统性缺陷，使得攻击者能够查询数百万个账户而不被发现。 Instagram用户面临的风险 此次事件的危险之处在于，无需密码即可造成严重破坏。只要掌握了用户名、电子邮件地址、电话号码和实际地址，老练的网络犯罪分子就能发动多种破坏性极强的攻击。