Güvenlik firması Malwarebytes, Instagram’da milyonlarca kullanıcıyı etkileyen kapsamlı bir bilgi ihlali tespit edildiğini açıkladı. Şirketin paylaştığı bilgilere nazaran, yaklaşık 17,5 milyon hesaba ilişkin bilgiler sızdırıldı ve bu datalar hacker forumlarında açık biçimde dolanıma sokuldu. Instagram’ın çatı şirketi Meta ise kelam konusu sızıntıyı şu ana kadar resmen doğrulamadı. Açığa çıkan bilgiler ortasında kullanıcıların telefon numaraları başta olmak üzere çeşitli bağlantı ayrıntıları yer alıyor.
Malwarebytes’in kullanıcılarına gönderdiği ihtar e-postasında, bu bilgi ihlalinin şirketin dark web izleme çalışmaları sırasında ortaya çıkarıldığı belirtildi. İncelemelere nazaran sızıntı; kullanıcı isimleri, ad-soyad bilgileri, e-posta adresleri, telefon numaraları, kısmen fizikî adresler ve öbür irtibat bilgilerini kapsıyor.
Halihazırda 2 milyardan fazla etkin kullanıcısı bulunan Instagram, dünya genelindeki internet kullanıcılarının yaklaşık yüzde 37’sine hitap ediyor. Malwarebytes, ele geçirilen bu bilgilerin bilhassa Instagram’ın şifre sıfırlama sistemini istismar etmek gayesiyle kullanılabileceği konusunda kullanıcıları uyardı.
Şirketin değerlendirmesine nazaran çalınan datalar, 2024 yılında yaşandığı düşünülen bir Instagram API açığından kaynaklanmış olabilir. Bağlantı bilgileri ele geçirilen kullanıcılar, şifrelerini yenilemelerini yahut hesap doğrulaması yapmalarını isteyen, birinci bakışta gerçek üzere görünen e-posta ve bildiriler alabilir. Malwarebytes, kimi kullanıcıların Instagram’dan şifre sıfırlama bildirimleri aldığını; bu bildirimlerin olağan olabileceği üzere devam eden berbata kullanım faaliyetlerinin bir kesimi da olabileceğini vurguladı.
Öte yandan “Solonik” takma ismini kullanan bir küme, 7 Ocak 2026’da BreachForums üzerinden 17 milyondan fazla kaydı içeren bilgi setini fiyatsız olarak paylaştı. Paylaşımda, instagram.com’u amaç alan ve dünya genelindeki kullanıcıları etkilediği öne sürülen ham bilgiler yer aldı. Örnek kayıtların; kullanıcı isimleri, e-posta adresleri, memleketler arası telefon numaraları ve kullanıcı kimliklerini içermesi, Malwarebytes’in tespitleriyle örtüşüyor.
Meta cephesinden ise kelam konusu bilgi ihlaliyle ilgili şimdi resmi bir doğrulama yapılmış değil.
