Meta henüz açıklama yapmadı ama Instagram'da 17,5 milyon kullanıcının verisi çalındı
Kullanıcı verilerini koruma konusunda sabıkası kabarık olan Meta, Instagram’daki devasa güvenlik açığıyla bir kez daha sarsıldı. API sistemindeki denetim eksikliğini fırsat bilen saldırganlar, 17,5 milyon kullanıcının kişisel bilgilerini karanlık ağda (dark web) paylaşıma açtı.
Instagram, Facebook ve WhastApp gibi platformların çatı şirketi olan Meta, tarihinin en büyük API sızıntılarından birine daha imza attı. Siber güvenlik araştırmacıları tarafından fark edilen ve doğrulanan sızıntı, milyonlarca kullanıcıyı kimlik hırsızlığı ve hedefli kimlik avı saldırılarına karşı savunmasız bırakan geniş bir iletişim veri setini kapsıyor.
17 BUÇUK MİLYON KAYIT İÇERİYOR
Söz konusu veri seti, bu haftanın başlarında "Solonik" takma adını kullanan bir saldırgan tarafından bilinen bir bilgisayar korsanı forumunda yayınlandı. "INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK" başlığıyla paylaşılan ilan, JSON ve TXT formatlarında 17,5 milyon kayıt içerdiğini iddia ediyor.
Forumdaki paylaşıma göre veriler, 2024 yılının sonlarında bir "API sızıntısı" yoluyla elde edildi.
Saldırganların, standart güvenlik önlemlerini atlayarak dünya çapındaki kullanıcı profillerini veri kazıma (scraping) yöntemiyle topladığı belirtiliyor.
Sızdırılan veri tabanı, sadece kullanıcı adlarını değil, şu kritik bilgileri de içeriyor:
-Tam isimler ve kullanıcı adları
-Doğrulanmış e-posta adresleri
-Telefon numaraları
-Kullanıcı kimlik numaraları (ID)
-Ülke ve kısmi konum verileri
-Veri örneklerinden alınan ekran görüntüleri, siber suçluların hedefleri hakkında kapsamlı profiller oluşturmasına olanak tanıyan bu alanların geçerliliğini doğruluyor.
-Aktif riskler ve istismar uyarıları
İSTENMEYEN ŞİFRE SIFIRLAMA BİLDİRİMLERİ
Veri sızıntısı, yayınlanmasının ardından hızla aktif bir tehdide dönüştü. Çok sayıda Instagram kullanıcısı, verilerin sızdırılmasından bu yana istenmeyen şifre sıfırlama bildirimlerinde büyük bir artış olduğunu bildirdi.
Sızıntının şifreleri içermediği görülse de e-posta ve telefon numaralarının birleşimi, "SIM kart değişimi" saldırıları ve gelişmiş sosyal mühendislik yöntemleri için yeterli kabul ediliyor.
Dolandırıcılar, kendilerini Instagram destek ekibi gibi tanıtarak veya ifşa olan kişisel detayları kullanarak güven inşa edip kurbanları iki faktörlü doğrulama (2FA) kodlarını veya giriş bilgilerini vermeleri için kandırabiliyor.
Olay, Instagram'ın ana sunucularına doğrudan bir sızma yerine, halka açık arayüzler üzerinden otomatik veri toplama işlemi olan "kazıma" olarak sınıflandırıldı.
Ancak API sızıntısının ölçeği, hız sınırlaması veya gizlilik korumalarındaki bir eksikliğin, saldırganların tespit edilmeden milyonlarca hesabı sorgulamasına izin verdiğini gösteriyor.
METE AÇIKLAMA YAPMADI
10 Ocak 2026 itibarıyla Meta, 17,5 milyonluk bu veri sızıntısına ilişkin henüz resmi bir açıklama yapmadı.
Siber güvenlik uzmanları, tüm Instagram kullanıcılarına SMS yerine bir kimlik doğrulama uygulaması kullanarak çok faktörlü kimlik doğrulamayı (MFA) hemen etkinleştirmelerini ve talep edilmeyen şifre sıfırlama e-postalarını dikkate almamalarını tavsiye ediyor.
patronlardunyasi.com
