Una valanga di richieste di recupero password ha colpito milioni di utenti: bug o furto di dati?
In pochi giorni, oltre 17 milioni di utenti hanno ricevuto una misteriosa email da parte di Instagram, firmata ufficialmente dai server di Meta. Il contenuto era chiaro: “Richiesta di reimpostazione della password”. Eppure nessuno aveva chiesto nulla. La reazione è stata immediata: allarme, confusione e timori di attacco informatico. Ma queste comunicazioni erano reali, non si trattava di phishing. A inviarle è stato davvero il sistema ufficiale di Instagram. Il problema? È stato qualcuno dall’esterno a forzare quel meccanismo, facendo partire milioni di mail di reset. Secondo alcuni esperti, non è stato solo un errore tecnico.
Un’ondata senza precedenti di email autentiche, ma inviate da soggetti esterni
Il primo campanello d’allarme è arrivato lo scorso fine settimana, quando diversi gruppi di utenti in Italia, Europa e Stati Uniti hanno segnalato la ricezione improvvisa e ripetuta di email di reset password. Le comunicazioni provenivano da @instagram.com, dominio verificato, e non presentavano elementi di truffa classica. Nessun link malevolo, nessun tentativo apparente di phishing. Solo un messaggio automatico, generato dal server di Meta, che indicava un’azione da confermare.
Un’ondata senza precedenti di email autentiche, ma inviate da soggetti esterni – 24minuti.it
Secondo le prime analisi, l’invio è partito da un abuso del modulo di richiesta password presente nel sito e nell’app ufficiale. In pratica, sarebbe stato possibile per un attore esterno, anche senza accesso agli account, generare automaticamente migliaia di richieste di reset, semplicemente compilando moduli con email pubbliche o già esposte in passato in data leak. Ecco perché i messaggi erano autentici, ma mai richiesti dagli utenti.
L’allarme è stato rilanciato da Malwarebytes, società specializzata in sicurezza, che ha ipotizzato una compromissione ben più grave. Secondo il loro report, pubblicato sulla piattaforma Bluesky, un gruppo organizzato avrebbe sottratto un database contenente informazioni sensibili di 17,5 milioni di account Instagram, inclusi email, numeri di telefono, nomi utente e in alcuni casi indirizzi fisici. Questi dati, secondo quanto emerso, sarebbero già in vendita nel dark web, accessibili a chiunque sia disposto a pagare. Se fosse vero, si tratterebbe di uno dei data breach più ampi nella storia della piattaforma.
La versione ufficiale di Meta e i dubbi che restano aperti
Meta ha reagito poche ore dopo, pubblicando un comunicato sulla piattaforma X, e non sui propri canali ufficiali. Nel messaggio, la società madre di Instagram ha negato qualsiasi violazione dei propri sistemi e ha parlato di un bug tecnico ora risolto. Il messaggio recita: “Abbiamo risolto un problema che consentiva a soggetti esterni di richiedere email di reimpostazione password per alcuni utenti. Non c’è stata alcuna violazione dei nostri sistemi. I tuoi account sono al sicuro. Ci scusiamo per la confusione.”
Una risposta netta, ma non del tutto chiarificatrice. Perché non è stato spiegato come mai una “parte esterna” fosse in grado di attivare una funzione riservata solo agli utenti stessi. Non è nemmeno chiaro da dove provenissero le email usate per l’invio massivo: Meta non ha detto se si tratta di indirizzi raccolti online, o se siano frutto di altri leak precedenti. Anche la scelta di comunicare tramite X, ex Twitter, invece che usare il blog ufficiale di Instagram o la piattaforma Threads, ha lasciato molti perplessi.
Nel frattempo, gli esperti di sicurezza consigliano a chiunque abbia ricevuto l’email di prendere precauzioni. Reimpostare la password, anche se non strettamente necessario secondo Meta, è una buona prassi. Attivare l’autenticazione a due fattori è ancora meglio, ma va fatto tramite app di autenticazione e non tramite SMS, considerati meno sicuri anche dall’FBI. L’ultima raccomandazione è quella di non cliccare mai sui link presenti nelle email, nemmeno se sembrano ufficiali. Meglio aprire l’app e agire da lì.
Per ora non si hanno nomi, né conferme ufficiali su chi abbia sfruttato la falla. Non ci sono indagini pubbliche in corso, ma il caso resta aperto. Chi ha ricevuto quelle email non ha motivo di farsi prendere dal panico, ma è consigliabile restare vigili: quando si parla di sicurezza digitale, la prudenza non è mai troppa.
