上周，一名名为Solonik的人士在暗网黑客论坛兜售中国大陆Costco（好市多）会员个人信息，引发国内媒体广泛关注。如今又传出此人掌握大量社交媒体Instagram用户数据，并在多个黑客论坛传播，成为全球网络安全圈的焦点。

这一消息最早由安全公司Malwarebytes在社交媒体上发布。他们在1月10日于X平台发出警告，称有人窃取了1750万条Instagram账户敏感信息，内容包括用户名、真实地址、电话号码和电子邮件地址。值得注意的是，他们附上了一张密码重置邮件截图，暗示攻击者可能借密码重置通知实施网络钓鱼。

根据多家网络安全媒体的报道，这批数据已流入多个黑客论坛并可供下载，且黑客已开始向Instagram用户发送钓鱼邮件，以“密码重置”为由实施诈骗。

这批数据的具体内容包括：17,015,503个ID、16,553,662个用户名、12,418,006个姓名、6,233,162个电子邮件地址、3,494,383组电话号码，以及1,335,727个真实地址。安全电子报International Cyber Digest指出，该数据集实际形成于2022年6月，并于2023年3月上传至云存储平台；安全研究员Seb也证实，虽然发布者声称数据来自2024年的Instagram API泄露事件，但实际是2022年被盗的数据，近期被重新整理并上传至黑客论坛。

SecurityAffairs援引安全网站The Cybersec Guru的说法称，已有数百万Instagram用户收到黑客发送的密码重置通知邮件。该组织强调，这批数据与以往泄露事件不同，攻击者将其用于人肉搜索，并与营销名单、数据贩子或其他泄露数据进行交叉比对，将Instagram账号与真实身份信息关联起来。这些数据并非按数量计价，而是根据用户地理位置和粉丝数量进行分级销售，主要目标是网络红人和知名品牌账号。The Cybersec Guru指出，由于黑客将Instagram账号与真实住址绑定，此次数据泄露的危害远超账号被盗，可能被用于跟踪、身份盗窃甚至勒索。

GBHackers On Security获取了卖家Subkek的说法，称这批数据是过去三个月内通过公开API接口批量抓取所得。

针对此次数据泄露事件，Bleeping Computer向Meta求证，对于所谓2022年或2024年发生API数据泄露的说法，Meta表示无法确认。但针对攻击者可大量发送密码重置通知的漏洞，Instagram已着手修复。此外，由于当前泄露的数据中不包含密码，仅更改密码难以有效防范相关风险。