Dünya genelinde 17,5 milyon Instagram kullanıcısının kişisel bilgilerini içeren büyük bir veri ihlali yaşandığı belirlendi. Ele geçirilen hassas verilerin şu anda karanlık ağ forumlarında dolaşımda olduğu tespit edildi. Bu durum, kullanıcıların kimlik hırsızlığı ve hedefli saldırılar karşısında savunmasız kalmasına neden oluyor.
Veri Sızıntısının Boyutu ve İçeriği
Siber güvenlik araştırmacıları tarafından tespit edilen bu sızıntı, geniş bir iletişim veri setini kapsıyor. Sızıntıya ilişkin bilgiler, "Solonik" takma adını kullanan bir saldırgan tarafından bir bilgisayar korsanı forumunda paylaşıldı. "INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK" başlığıyla yapılan paylaşımda, JSON ve TXT formatlarında 17,5 milyon kayıt bulunduğu iddia ediliyor. Forumda yer alan bilgilere göre, veriler 2024 yılının sonlarında bir API sızıntısı yoluyla ele geçirildi.
Saldırganların, standart güvenlik önlemlerini aşarak dünya genelindeki kullanıcı profillerini veri kazıma yöntemiyle topladıkları kaydedildi. Sızdırılan veri seti, yalnızca kullanıcı adlarını değil, aynı zamanda tam isimler, doğrulanmış e-posta adresleri, telefon numaraları, kullanıcı kimlik numaraları ve kısmi konum verileri gibi kritik bilgileri de içeriyor. Siber suçlular, bu veriler aracılığıyla hedefleri hakkında kapsamlı profiller oluşturma imkanına sahip.
Aktif Riskler ve Kullanıcılara Düşen Sorumluluklar
Söz konusu veri sızıntısı, yayınlandıktan kısa bir süre sonra aktif bir tehdit haline geldi. Birçok Instagram kullanıcısı, sızıntının ardından istenmeyen şifre sıfırlama bildirimlerinde önemli bir artış yaşandığını bildirdi. Şifreleri içermemekle birlikte, e-posta ve telefon numaralarının birleşimi, dolandırıcıların "SIM kart değişimi" saldırıları ve sosyal mühendislik yöntemleri için yeterli bilgi sağlıyor. Dolandırıcılar, kendilerini Instagram destek ekibi gibi tanıtarak hedef kullanıcılardan iki faktörlü doğrulama kodlarını veya giriş bilgilerini talep edebiliyor.
Olay, Instagram'ın ana sunucularına doğrudan bir sızma olarak değil, halka açık arayüzler üzerinden otomatik veri toplama işlemi olarak sınıflandırıldı. Ancak API sızıntısının ölçeği, hız sınırlaması veya gizlilik korumalarındaki eksikliklerin, saldırganların tespit edilmeden milyonlarca hesabı sorgulamasına olanak sağladığını gösteriyor.
Meta'nın Konuya İlişkin Sessizliği
10 Ocak 2026 itibarıyla Meta, 17,5 milyonluk bu veri sızıntısına dair henüz resmi bir açıklama yapmadı. Siber güvenlik uzmanları, tüm Instagram kullanıcılarına SMS yerine kimlik doğrulama uygulaması kullanarak çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmelerini ve talep edilmeyen şifre sıfırlama e-postalarına dikkat etmelerini öneriyor. Kullanıcıların bu tür durumlarda dikkatli olmaları, kişisel bilgilerini koruma altına almak açısından büyük önem taşıyor.
