Uzmanlar, bu büyüklükteki bir sızıntının özellikle kimlik avı (phishing), hesap ele geçirme ve SIM kart kopyalama gibi dolandırıcılık yöntemleri için önemli bir risk oluşturduğuna dikkat çekiyor.
API açığı iddiası: Veriler forumlarda satışta
Sızıntının, “Solonik” rumuzunu kullanan bir kişi tarafından bilinen bir hacker forumunda paylaşıldığı bildirildi.
“INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” başlığıyla yayımlanan ilanlarda, verilerin JSON ve TXT formatında olduğu ve 17,5 milyon ayrı kaydı içerdiği öne sürülüyor.
Paylaşılan bilgilere göre veri seti, 2024 yılının sonlarına doğru yaşanan bir API kaynaklı güvenlik açığı üzerinden elde edildi. Saldırganların, platformun herkese açık sistemlerini kullanarak otomatik veri kazıma (scraping) yaptığı ifade ediliyor.
Sızdırılan bilgiler ne kadar ciddi?
Forumlarda dolaşıma sokulan veri tabanı, yalnızca kullanıcı adlarıyla sınırlı değil. İddialara göre şu bilgiler de ifşa edildi:
Ad ve soyad bilgileri
Instagram kullanıcı adları
Doğrulanmış e-posta adresleri
Telefon numaraları
Kullanıcı ID numaraları
Ülke ve kısmi konum bilgileri
Uzmanlar, bu verilerin bir araya gelmesinin siber suçlular için detaylı kullanıcı profilleri oluşturma imkânı sunduğunu belirtiyor.
Kullanıcılardan uyarı sinyalleri geliyor
Sızıntı iddialarının yayılmasının ardından çok sayıda kullanıcı, haberleri olmadan gönderilen şifre sıfırlama taleplerinde artış yaşandığını bildirdi. Her ne kadar parola bilgilerinin sızdırılmadığı ifade edilse de, e-posta ve telefon numarası kombinasyonunun saldırılar için yeterli olduğu vurgulanıyor.
Dolandırıcıların, kendilerini Instagram destek ekibi gibi tanıtarak kullanıcıları kandırmaya çalıştığı, özellikle iki faktörlü doğrulama kodlarının hedef alındığı belirtiliyor.
Doğrudan hack değil, sistemsel zafiyet iddiası
Olay, Instagram sunucularına doğrudan bir siber saldırıdan ziyade, hız sınırlaması ve gizlilik önlemlerindeki zayıflıklar nedeniyle mümkün olan büyük ölçekli veri kazıma olarak değerlendiriliyor. Bu durum, milyonlarca hesabın fark edilmeden sorgulanabilmesine imkân tanımış olabilir.
Meta’dan henüz açıklama yok
10 Ocak 2026 itibarıyla, Instagram’ın çatı şirketi olan Meta, söz konusu 17,5 milyonluk veri sızıntısı iddiasına ilişkin resmi bir açıklama yapmış değil.
Uzmanlardan net uyarı
Siber güvenlik uzmanları, Instagram kullanıcılarına şu önlemleri acilen almalarını öneriyor:
SMS yerine kimlik doğrulama uygulamasıyla MFA etkinleştirin
Tanımadığınız şifre sıfırlama e-postalarını kesinlikle dikkate almayın
Destek adı altında gelen bağlantılara tıklamayın
Hesap güvenlik ayarlarını düzenli olarak kontrol edin
Bu tür veri sızıntılarının etkisi, yalnızca hesap güvenliğiyle sınırlı kalmayıp uzun vadeli dolandırıcılık risklerini de beraberinde getirebiliyor.
