Instagram, onderdeel van Meta Platforms Inc., heeft met klem ontkend dat het platform het slachtoffer is geworden van een datalek. De verklaring volgt na een golf van ongevraagde e-mails voor het resetten van wachtwoorden, die bij miljoenen gebruikers tot onrust leidde en speculaties aanwakkerde over een mogelijk grootschalig beveiligingsincident.
Wachtwoord-resetmails
De eerste berichten over een vermeend datalek doken op toen grote aantallen Instagram-gebruikers aangaven onverwachte wachtwoord-resetmails te hebben ontvangen. Omdat deze berichten niet door henzelf waren aangevraagd, ontstond al snel het vermoeden dat kwaadwillenden toegang hadden gekregen tot interne systemen van Instagram en probeerden accounts op grote schaal over te nemen.
De onrust werd verder versterkt door claims van cybersecurityonderzoekers dat een dataset met gegevens van circa 17,5 miljoen Instagram-accounts te koop werd aangeboden op ondergrondse fora. Deze dataset zou onder meer gebruikersnamen, e-mailadressen, telefoonnummers en in sommige gevallen zelfs locatiegegevens bevatten. Dat voedde het beeld dat er sprake zou zijn van een recent en omvangrijk datalek.
Technische fout
In een verklaring die werd opgepikt door Bleeping Computer, stelt Instagram echter dat er geen enkel bewijs is gevonden voor een inbraak in de eigen systemen. Volgens het bedrijf is er geen ongeautoriseerde toegang geweest tot gebruikersdata. De oorzaak van de resetmails lag volgens Instagram elders: een externe partij maakte misbruik van een technische fout waarmee het mogelijk was om op grote schaal wachtwoord-resetverzoeken te activeren, zonder dat daarbij accounts werden gecompromitteerd of backend-systemen werden geraakt.
“Wij hebben een probleem verholpen waardoor een externe partij wachtwoord-resetmails kon aanvragen voor sommige Instagram-gebruikers”, aldus een woordvoerder van Meta. “We willen iedereen geruststellen dat er geen sprake was van een inbreuk op onze systemen en dat Instagram-accounts veilig zijn gebleven. Deze e-mails kunnen worden genegeerd, en we bieden onze excuses aan voor de verwarring.”
Databestanden
Hoewel er mogelijk een dataset met Instagram-gerelateerde gegevens circuleert op hackersfora, betekent dit volgens deskundigen niet automatisch dat er sprake is van een nieuw datalek. Dergelijke databestanden kunnen ook afkomstig zijn van oudere scraping-incidenten of eerdere dataverzamelingen. In het verleden zijn vergelijkbare datasets vaker opnieuw als ‘nieuwe lekken’ gepresenteerd, vooral wanneer er actuele problemen of storingen bij platforms spelen.
Tweestapsverificatie
Instagram heeft aangegeven onderzoek te doen naar de herkomst van de genoemde dataset. Tegelijkertijd benadrukt het bedrijf dat gebruikers alert moeten blijven. Ongevraagde e-mails met links vormen altijd een risico. Gebruikers doen er verstandig aan om bij twijfel zelf naar Instagram te navigeren, daar hun wachtwoord te wijzigen en tweestapsverificatie in te schakelen om de kans op accountovername te verkleinen.
Het nieuws werd onder meer verspreid door SiliconANGLE Media, een mediabedrijf dat zich richt op technologie, cybersecurity en digitale innovatie. De situatie onderstreept opnieuw hoe snel onrust kan ontstaan rond dataveiligheid en hoe belangrijk transparante communicatie is in een tijd waarin miljoenen mensen dagelijks afhankelijk zijn van online platforms.