Meta a corrigé une faille technique qui permettait à des tiers de déclencher massivement l’envoi d’e-mails de réinitialisation de mot de passe, perturbant certains utilisateurs. Malgré l’alerte de Malwarebytes signalant la diffusion présumée de données de 17,5 millions de comptes, Instagram a précisé qu’aucune intrusion n’avait compromis ses infrastructures et que les comptes restaient sécurisés. L’entreprise a conseillé d’ignorer les e-mails de réinitialisation envoyés de manière inattendue.
Exploitation de l’API
Le fichier diffusé sur plusieurs forums de hackers contient plus de 17 millions de profils incluant noms, numéros de téléphone, adresses postales, e-mails et identifiants.
Si le hacker évoque une exploitation de l’API en 2024, Meta affirme ne pas avoir connaissance de compromissions récentes et indique que les données semblent être une compilation provenant de plusieurs années, incluant notamment d’anciennes fuites comme celle de 2017. Aucune preuve ne relie ces informations à une faille récente des systèmes d’Instagram, ce qui laisse penser que les serveurs de la plateforme n’ont pas été directement attaqués.
L’absence de mots de passe dans le fichier réduit le risque immédiat d’accès non autorisé aux comptes, mais les informations exposées peuvent servir à des attaques d’ingénierie sociale, phishing ou smishing.
Les utilisateurs doivent rester vigilants en ignorant et supprimant les e-mails ou SMS de réinitialisation non sollicités et en activant l’authentification à deux facteurs (2FA) pour renforcer la sécurité de leurs comptes. Cette distinction entre fuite ancienne et compromission récente est cruciale pour évaluer la menace réelle et les mesures de protection à adopter.
Laisser un commentaire