Δεδομένα από 6,2 εκατομμύρια χρήστες του Instagram κατέληξαν στη βάση δεδομένων του project “Have-I-Been-Pwned”. Επιπλέον, προστέθηκαν 672.000 εγγραφές από το BreachForums.
Κακόβουλοι παράγοντες, χρησιμοποιώντας την τεχνική του scraping (αυτοματοποιημένη συλλογή δεδομένων) μέσω των διεπαφών πρόσβασης (APIs) του Instagram, υπέκλεψαν δεδομένα από 6,2 εκατομμύρια χρήστες της υπηρεσίας και τα διέθεσαν σε ένα υποκρύφιο (underground) φόρουμ.
Πλέον, αυτά τα δεδομένα έχουν ενσωματωθεί στη βάση δεδομένων του project Have-I-Been-Pwned (HIBP) και είναι αναζητήσιμα.
Επιπροσθέτως, περίπου 672.000 εγγραφές δεδομένων χρηστών του γνωστού χάκερ-φόρουμ BreachForums κατέληξαν επίσης εκεί.
Αυτό αναφέρει ο διαχειριστής Troy Hunt στην ιστοσελίδα του Have-I-Been-Pwned. Σύμφωνα με την αναφορά, ένας χρήστης σε ένα underground φόρουμ προσέφερε ένα σύνολο δεδομένων με 17 εκατομμύρια εγγραφές δημοσίως προσβάσιμων πληροφοριών του Instagram.
Τα δεδομένα φέρονται να έχουν αλιευθεί μέσω των APIs του Instagram με τη μέθοδο του scraping και προέρχονται από το έτος 2024. Περιλαμβάνουν ονόματα χρηστών (usernames), ονόματα προβολής (display names), αναγνωριστικά λογαριασμών (IDs) και σε ορισμένες περιπτώσεις γεωγραφικά δεδομένα.
«Από αυτές τις εγγραφές, 6,2 εκατομμύρια περιείχαν διεύθυνση ηλεκτρονικού ταχυδρομείου (email) και ορισμένες επιπλέον έναν αριθμό τηλεφώνου», γράφει ο Hunt. «Δεν υπάρχουν ενδείξεις ότι έχουν παραβιαστεί κωδικοί πρόσβασης ή άλλες ευαίσθητες πληροφορίες».
Τέτοιες πληροφορίες μπορούν εύκολα να χρησιμοποιηθούν καταχρηστικά, ιδιαίτερα εκτός Γερμανίας, για επιθέσεις τύπου SIM-Swapping, κατά τις οποίες εγκληματίες “καταλαμβάνουν” τον αριθμό κινητού τηλεφώνου των θυμάτων και στη συνέχεια πραγματοποιούν αγορές ή άλλες εγκληματικές ενέργειες.
Στη Γερμανία, οι πάροχοι ενδέχεται να φέρουν ευθύνη, γι’ αυτό και λαμβάνουν μέτρα, με αποτέλεσμα το SIM-Swapping να μην αποτελεί σημαντικό πρόβλημα στη χώρα αυτή.
Η διαρροή με τα παλαιότερα δεδομένα, ωστόσο, δεν σχετίζεται με το γεγονός ότι χρήστες του Instagram λαμβάνουν αυτή την περίοδο αιτήματα επαναφοράς κωδικού πρόσβασης.
Σύμφωνα με το Instagram, αυτό δεν οφείλεται σε παραβίαση των διακομιστών (servers) της υπηρεσίας, αλλά στο ότι άγνωστοι μπόρεσαν να αιτηθούν τέτοια email επαναφοράς κωδικού. Οι θιγόμενοι χρήστες καλούνται να αγνοήσουν αυτά τα emails.
Διαρροή δεδομένων χρηστών και από το BreachForums
Επιπλέον, στο BreachForums (ή στις μετέπειτα ενσαρκώσεις του μετά την επιτυχή κατάληψή του από τις διωκτικές αρχές τον περασμένο Απρίλιο) σημειώθηκε διαρροή δεδομένων τον Αύγουστο του 2025.
Ο Hunt γράφει στην ιστοσελίδα του HIBP ότι περιλαμβάνονται 672.000 διευθύνσεις email από όλους τους πίνακες της βάσης δεδομένων, συμπεριλαμβανομένων των δημοσιεύσεων στο φόρουμ και των προσωπικών μηνυμάτων.
Ο πίνακας χρηστών περιλαμβάνει από μόνος του 324.000 διευθύνσεις email, ονόματα χρηστών και κωδικούς πρόσβασης κρυπτογραφημένους με τη μέθοδο Argon2.
Οι ενδιαφερόμενοι μπορούν να ελέγξουν στην ιστοσελίδα του HIBP τις διευθύνσεις email τους και να δουν σε ποιες διαρροές δεδομένων έχουν εμφανιστεί.
Μια παρόμοια υπηρεσία προσφέρει και το Ινστιτούτο Hasso-Plattner με τον Identity Leak Checker, ο οποίος επίσης συλλέγει πληροφορίες από διάφορες διαρροές δεδομένων.
Scraping, Κοινωνική Μηχανική και η “ειρωνεία” του BreachForums
Η συγκεκριμένη είδηση αναδεικνύει τρεις κρίσιμες πτυχές της σύγχρονης κυβερνοασφάλειας που αξίζει να αναλυθούν περαιτέρω: τη διαφορά μεταξύ scraping και hacking, τον κίνδυνο της “κοινωνικής μηχανικής” και την ειρωνεία της παραβίασης των ίδιων των χάκερ.
Scraping vs Hacking: Η λεπτή γραμμή
Είναι σημαντικό να κατανοήσουμε ότι στην περίπτωση του Instagram δεν μιλάμε για “παραβίαση” (hack) με την έννοια ότι κάποιος έσπασε τους servers της Meta και έκλεψε κρυφά δεδομένα.
Το Scraping είναι η μαζική συλλογή δεδομένων που είναι ήδη δημόσια ή ημιδημόσια, μέσω αυτοματοποιημένων bots που εκμεταλλεύονται τα API της πλατφόρμας.
Αν και τα δεδομένα (όπως το username και η photo) είναι δημόσια, η μαζική συσχέτισή τους με emails και τηλέφωνα δημιουργεί μια επικίνδυνη βάση δεδομένων.
Οι χρήστες συχνά αγνοούν ότι το “δημόσιο προφίλ” τους μπορεί να χρησιμοποιηθεί εναντίον τους.
Ο Κίνδυνος του Social Engineering
Το γεγονός ότι δεν διέρρευσαν κωδικοί πρόσβασης του Instagram είναι ανακουφιστικό, αλλά όχι λόγος εφησυχασμού.
Όταν ένας κακόβουλος χρήστης έχει το ονοματεπώνυμό σας, το email σας, το κινητό σας και το username σας, διαθέτει το τέλειο “οπλοστάσιο” για επιθέσεις Social Engineering (Κοινωνικής Μηχανικής).
Για παράδειγμα, μπορεί να σας στείλει ένα πολύ πειστικό email που να μοιάζει ότι προέρχεται από το Instagram (Phishing), ζητώντας σας να κάνετε login για να “ασφαλίσετε” τον λογαριασμό σας, γνωρίζοντας ήδη το username σας.
Επίσης, η σύνδεση email και κινητού αυξάνει τον κίνδυνο στοχευμένων επιθέσεων, όπου οι απατεώνες προσποιούνται ότι είναι εσείς σε τράπεζες ή παρόχους κινητής.
Η περίπτωση του BreachForums
Η διαρροή του BreachForums έχει ιδιαίτερο ενδιαφέρον. Πρόκειται για έναν ιστότοπο όπου κυβερνοεγκληματίες αγόραζαν και πουλούσαν κλεμμένα δεδομένα.
Το γεγονός ότι τα δεδομένα των ίδιων των εγκληματιών (συμπεριλαμβανομένων των προσωπικών τους μηνυμάτων και των κωδικών τους) διέρρευσαν, αποτελεί μια μορφή “ψηφιακής νέμεσης”.
Ωστόσο, αυτό είναι επικίνδυνο και για τους απλούς πολίτες, καθώς στα προσωπικά μηνύματα των χάκερ συχνά ανταλλάσσονται ευαίσθητα δεδομένα θυμάτων που δεν έχουν δημοσιευτεί ακόμα ευρέως.
Η κρυπτογράφηση Argon2 που χρησιμοποιούσε το φόρουμ είναι εξαιρετικά ισχυρή, κάτι που δείχνει ότι οι εγκληματίες φροντίζουν πολύ καλά τη δική τους ασφάλεια, ακόμα και όταν παραβιάζουν την ασφάλεια των άλλων.
Τι πρέπει να κάνετε;
- Ενεργοποιήστε τον Έλεγχο Ταυτότητας Δύο Παραγόντων (2FA) παντού, κατά προτίμηση χρησιμοποιώντας εφαρμογή (όπως Google Authenticator) και όχι SMS, για να αποφύγετε το SIM-Swapping.
- Να είστε καχύποπτοι με emails που ζητούν επείγουσα δράση, ακόμα και αν φαίνεται να γνωρίζουν το όνομά σας.
- Χρησιμοποιήστε εργαλεία όπως το Have-I-Been-Pwned τακτικά.
