2024年11 月 10 日,一名黑客在某黑客论坛上列出了一个待售数据集,声称它包含 4.89 亿 Instagram 用户数据。据称,该数据集覆盖了全球的用户,使其成为那些寻求利用个人信息者的广泛且潜在有价值的资源。如果威胁行为者所言属实,那么所有Instagram用户中四分之一的数据已在一个网络犯罪论坛上泄露。
为了支持其说法,威胁行为者提供了100多条记录的样本,让人们得以窥见他们据称获取的信息。据报道,这个样本中包含了电子邮件地址和位置数据等个人信息,以及通常的公开信息,如用户名和关注者数量。这种公开和可能私密信息的混合可能会使Instagram用户面临众多安全和隐私威胁。样例中揭示的数据字段包括:用户名
姓名
电子邮件地址
个人简介
外部链接
关注者和被关注者数量
位置
账户创建日期
账户类别(如商业账户、网红账户)
抓取目标用户名
用户ID和抓取ID
![]()
该行为者在2024年11月10日发布的帖子中表示,这些数据是通过过去三个月内利用Instagram API收集的,据称访问了用户的公开和隐藏信息。这表明该行为者可能利用了Instagram的应用程序编程接口(API)漏洞,大规模获取了敏感用户数据。虽然威胁行为者声称这些数据是“最新抓取的”,但黑客论坛上共享的数据的真实性总是存疑。据Cybernews研究人员称,数据样本中共享的Instagram账户看起来是真实的。然而,数据集样本中的电子邮件地址并未出现在以往数据泄露事件中编译的数据集中。这可能意味着这些数据是新的,也可能意味着这些数据是假的。“如果正常使用服务时,用户电子邮件地址等此类信息并非公开且可公开访问的,那么公共API就不应暴露此类信息,”一位Cybernews研究人员表示。“如果威胁行为者的话可信,并且他们是通过抓取公共API获取的数据,那么这意味着要么Instagram的私有API被公开了,要么他们的公共API存在‘破坏对象属性级授权’的漏洞。”如果这些数据是真实的,那么用户可能面临更高的身份冒用和社交工程攻击风险。利用这些数据,威胁行为者可以编造具有说服力的信息来套取更多信息,或者诱使用户点击恶意链接。商业账户和拥有大量粉丝的用户可能会成为品牌冒用或其他类型欺诈的目标。虽然数据抓取处于法律灰色地带,但根据Meta的政策,未经公司许可使用自动化手段获取数据违反了其条款。Meta的网站声称拥有一支专门的外部数据滥用(EDM)团队,专注于检测和阻止数据抓取行为。据称,该团队还在与威胁情报研究人员合作,并与负责任的托管供应商合作,将被抓取的数据集从在线论坛上撤下,以防止这些数据集在网上共享。
