Siber güvenlik şirketi Malwarebytes, Instagram’da yaklaşık 17,5 milyon hesabı etkileyen geniş çaplı bir veri ihlali tespit edildiğini duyurdu. Araştırmacılar tarafından fark edilen ve doğrulanan sızıntının, kullanıcıları kimlik hırsızlığı ve hedefli oltalama (phishing) saldırılarına açık hale getirdiği belirtildi.

Dark web’de paylaşıldı: “2024 API sızıntısı” iddiası

Söz konusu veri setinin, “Solonik” takma adını kullanan bir saldırgan tarafından bir bilgisayar korsanı forumunda “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” başlığıyla paylaşıldığı aktarıldı. JSON ve TXT formatlarında olduğu belirtilen dosyaların, 2024’ün sonlarında yaşanan bir API sızıntısı üzerinden elde edildiği iddia ediliyor.

Hangi bilgiler sızdırıldı?

Paylaşılan veri tabanında yalnızca kullanıcı adlarının değil, şu kritik kişisel bilgilerin de yer aldığı ifade ediliyor:

• Tam isimler ve kullanıcı adları

• Doğrulanmış e-posta adresleri

• Telefon numaraları

• Kullanıcı kimlik numaraları (ID)

• Ülke ve kısmi konum bilgileri

Uzmanlar, örnek veri ekran görüntülerinin alanların geçerliliğini doğruladığını ve bu bilgilerin kötü niyetli kişiler için kapsamlı profil oluşturma imkânı sunduğunu vurguluyor.

Aktif risk: Şifre sıfırlama bildirimlerinde artış

Sızıntının ardından çok sayıda kullanıcı, istenmeyen şifre sıfırlama bildirimlerinde artış yaşandığını bildirdi. Her ne kadar parolaların sızdırılmadığı belirtilse de; e-posta + telefon kombinasyonunun SIM kart değişimi, sosyal mühendislik ve 2FA/MFA hedefli dolandırıcılıklar için yeterli olduğu uyarısı yapılıyor.

Kazıma (scraping) yöntemi ve API zafiyeti

Olayın, Instagram ana sunucularına doğrudan sızma yerine, halka açık arayüzlerden otomatik veri kazıma (scraping) yoluyla gerçekleştiği sınıflandırıldı. Ancak sızıntının ölçeği, hız sınırlaması veya gizlilik kontrollerinde bir eksikliğe işaret ediyor.

Kullanıcılara kritik uyarılar

Malwarebytes, bazı kullanıcıların Instagram’dan gelen şifre sıfırlama e-postaları aldığını, bunların meşru olabileceği gibi kötü niyetli de olabileceğini belirtti. Uzmanlar şu adımları öneriyor:

• SMS yerine kimlik doğrulama uygulaması ile çok faktörlü doğrulamayı (MFA) etkinleştirin.

• Talep etmediğiniz şifre sıfırlama iletilerine tıklamayın.

• Şüpheli mesajları raporlayın ve hesap güvenlik ayarlarını gözden geçirin.

Meta’dan henüz açıklama yok

Meta, 10 Ocak 2026 itibarıyla 17,5 milyonluk veri sızıntısına ilişkin resmi bir açıklama yapmadı. Siber güvenlik uzmanları, tüm Instagram kullanıcılarının hesap güvenliğini acilen güçlendirmesi gerektiğini vurguluyor.