Instagram แถลงว่าได้ทำการแก้ไขข้อผิดพลาดที่ช่วยให้ผู้ไม่หวังดีสามารถร้องขออีเมลรีเซ็ตรหัสผ่านเป็นจำนวนมากได้ ท่ามกลางข้อกล่าวอ้างว่าข้อมูลจากบัญชี Instagram กว่า 17 ล้านบัญชีถูกเก็บกวาด (scraped) และรั่วไหลทางออนไลน์ Instagram ยืนยันว่าไม่มีการละเมิดระบบและบัญชีของผู้ใช้ยังคงปลอดภัย ข้อมูลที่รั่วไหลนี้รวมถึงเบอร์โทรศัพท์, ชื่อผู้ใช้, ชื่อจริง, ที่อยู่จริง, ที่อยู่อีเมล และ ID ของ Instagram ซึ่งคาดว่าอาจเป็นการรวบรวมข้อมูลจากการโจมตีในอดีต.
Severity: สูง
System Impact:
Technical Attack Steps:
- ผู้ไม่หวังดีใช้ประโยชน์จากข้อผิดพลาดในระบบของ Instagram เพื่อส่งคำขออีเมลรีเซ็ตรหัสผ่านเป็นจำนวนมาก
- ข้อมูลโปรไฟล์บัญชี Instagram กว่า 17 ล้านบัญชีถูกเก็บกวาด (scraped) ออกไป
- ข้อมูลที่ถูกเก็บกวาด เช่น เบอร์โทรศัพท์, ชื่อผู้ใช้, ชื่อจริง, ที่อยู่จริง, ที่อยู่อีเมล และ ID ของ Instagram ได้ถูกนำไปเผยแพร่บนฟอรัมแฮกเกอร์
- Meta (บริษัทแม่ของ Instagram) ระบุว่าไม่พบเหตุการณ์ API รั่วไหลในปี 2022 หรือ 2024 และเชื่อว่าข้อมูลที่รั่วไหลอาจเป็นการรวบรวมข้อมูลที่เคยถูกเก็บกวาดไปแล้วในเหตุการณ์ก่อนหน้า (เช่น เหตุการณ์ปี 2017)
Recommendations:
Short Term:
- ละเว้นการตอบสนองต่ออีเมลหรือข้อความรีเซ็ตรหัสผ่านของ Instagram หากคุณไม่ได้เริ่มกระบวนการกู้คืนบัญชีด้วยตนเอง
- ตรวจสอบและเปิดใช้งานการยืนยันตัวตนแบบสองชั้น (Two-Factor Authentication – 2FA) สำหรับบัญชี Instagram ของคุณ เพื่อเพิ่มความปลอดภัย
Long Term:
- เฝ้าระวังและระมัดระวังเป็นพิเศษต่อการโจมตีแบบฟิชชิ่ง (phishing), สมิชชิ่ง (smishing – ฟิชชิ่งผ่าน SMS) และวิศวกรรมสังคม (social engineering) ที่อาจเกิดขึ้นโดยใช้ข้อมูลส่วนบุคคลที่รั่วไหลไป
- เนื่องจากข้อมูลที่รั่วไหลไม่ได้รวมรหัสผ่าน จึงไม่จำเป็นต้องเปลี่ยนรหัสผ่านในทันที แต่ควรใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับแต่ละบริการ
Share this content: