Instagram è intervenuta per rassicurare gli utenti dopo un’ondata di email sospette di reset della password, che avevano fatto trapelare sui social e in alcune community la voce di un presunto furto di dati massivo. Secondo quanto diffuso da alcune fonti online (tra cui un post di Malwarebytes su Bluesky) sarebbero stati compromessi i dati di 17,5 milioni di account Instagram, con informazioni sensibili come nomi utente, indirizzi fisici, numeri di telefono e indirizzi email disponibili addirittura sul dark web per cybercriminali.
La reazione ufficiale di Instagram, tuttavia, è molto diversa e smentisce categoricamente la narrativa di un “breach” del suo sistema. Vediamo cosa è realmente successo, perché si sono diffuse queste voci e come tutelare il tuo profilo.
Instagram: nessuna violazione del database
Dopo le segnalazioni di utenti che avevano ricevuto email apparentemente legittime da Instagram con richieste di reset della password, l’azienda ha pubblicato una dichiarazione sulla piattaforma X. Secondo il post ufficiale, Instagram ha risolto un problema tecnico che consentiva a «una parte esterna» di inviare richieste di reset della password a certe persone.
Instagram ha precisato che **non c’è stato alcun breach, nessuna violazione dei server o accesso non autorizzato ai dati degli utenti». La nota non entra nei dettagli su chi sia questa “parte esterna” o in che modo si sia verificato il problema, ma invita gli utenti a ignorare le email di reset della password e si scusa per la confusione causata.
Questo tipo di comunicazione tecnica è coerente con precedenti incidenti in cui una funzionalità dell’app ha generato comportamenti imprevisti o potenzialmente sfruttabili, senza però implicare una compromissione diretta del database degli utenti.
L’allerta Malwarebytes e la diffusione della voce
La causa scatenante della preoccupazione è un post su Bluesky condiviso dal software antivirus Malwarebytes, che mostrava uno screenshot di un’email apparentemente inviata da Instagram, con la richiesta di ripristino della password. Secondo l’azienda di sicurezza informatica, i dati di milioni di account sarebbero stati trafugati e messi in vendita sul dark web, un’affermazione che ha rapidamente trovato risonanza su piattaforme come Reddit, Twitter e Telegram.
Le accuse di Malwarebytes sono forti e non vanno prese alla leggera, poiché la vendita di dati trafugati è una pratica purtroppo diffusa nel cybercrime. Tuttavia, è importante sottolineare che al momento non esiste evidenza confermata di un accesso non autorizzato ai server di Instagram o di un leak ufficiale di dati provenienti direttamente da Meta.
Va anche ricordato che spesso i dati che circolano in mercati illegali possono derivare da combinazioni di violazioni avvenute altrove (per esempio da altri servizi dove l’utente ha utilizzato la stessa email o password) o da tecniche di phishing e scraping, e non necessariamente da una singola falla nei server della piattaforma.
Come distinguere tra email legittime e tentativi di truffa
Email che chiedono un reset della password sono uno degli strumenti più comuni utilizzati dai cybercriminali per cercare di ottenere accesso ai tuoi account. Anche se Instagram ha confermato che quella particolare ondata di email era generata da un problema tecnico interno alla piattaforma, è sempre opportuno adottare comportamenti prudenti.
Ecco alcuni consigli per riconoscere email autentiche da tentativi di phishing:
- Controlla l’indirizzo del mittente: le email legittime di Instagram provengono da domini ufficiali come @mail.instagram.com o simili. Diffida di domini strani o che imitano vagamente quelli ufficiali.
- Non cliccare link sospetti: se ricevi un’email di reset non richiesta, entra direttamente nell’app o nel sito ufficiale di Instagram e verifica lo stato del tuo account da lì, senza cliccare sui link nell’email.
- Abilita l’autenticazione a due fattori: è una delle difese più efficaci contro l’accesso non autorizzato anche se qualcuno fosse in possesso della tua password.
- Non fornire mai le tue credenziali: nessuna email legittima di reset ti chiederà di inviare password o codici di sicurezza in risposta.
Perché certe email vengono inviate anche senza breach
Il fatto che Instagram abbia ammesso un “problema tecnico” che ha portato all’invio di email di reset password non implica necessariamente che i dati siano stati compromessi. Nelle grandi piattaforme online può capitare che bug o errori temporanei nelle API o nei sistemi di gestione degli account causino comportamenti anomali, inclusa la generazione automatica di richieste di reset.
Casi simili sono già avvenuti in passato su altre piattaforme, dove bug nei sistemi di autenticazione hanno causato l’invio non richiesto di email di reset senza che ciò fosse legato a un furto di dati. Quando si verifica un problema di questo tipo, la prima priorità dell’azienda è rimuovere la possibilità di sfruttamento della falla, come Instagram ha annunciato di aver fatto, e poi comunicare agli utenti che possono ignorare quei messaggi.