IG多名用戶資料流出 黑客盜用發假電郵
原文刊於信報財經新聞「CEO AI⎹ EJ Tech」
近日本港在內的多名Instagram(IG)用戶,分別在社交平台Reddit及Threads反映,重複收到看似合法的電郵或短信,提示他們重設密碼或驗證身份。美國資安公司Malwarebytes在例行暗網掃描發現,大約1750萬IG個人資料外洩,內容涵蓋多項敏感資訊,包括用戶名稱、全名、實際地址、電話號碼、電郵地址,以至其他身份識別資訊,資料已在黑客論壇與暗網免費散布。IG其後回應,有人濫用功能發送重設電郵,並重申賬戶安全,系統沒有資料外洩。
IG稱系統無漏洞 問題已修復
IG在其社交媒體X賬戶發表聲明,承認「存在一個容許第三方請求部分用戶重置密碼的問題」,但堅稱這不構成安全漏洞,對產生混亂表示歉意。Meta強調問題現已修復,若收到未經請求的密碼重設電郵,建議用戶可置之不理。
一名代號為「Solonik」的黑客,近日在知名地下論壇BreachForums,以JSON和TXT格式公開部分樣本,宣稱可付費購買完整資料包,這些個人資料恐遭不法人士利用作詐騙與賬號盜用,造成是次假冒官方電郵事件。科技媒體CyberInsider報道,這些資料涉及2024年一宗IG應用程式介面(API)外洩事件,當時黑客繞過標準的安全保護措施竊取敏感資料。
Malwarebytes專家警告,黑客或利用資料發動冒充攻擊,甚至透過IG「重設密碼」機制以接管賬戶,切勿點選未經請求的密碼重設郵件。
專家建議啟用雙重驗證功能
專家又建議用戶定期更改密碼,並啟用雙重驗證(2FA)功能,最好放棄短訊驗證碼,改用基於應用程式的身份驗證器。此外,用戶可檢查Meta賬號中心,查看哪些裝置已登入其IG賬號。為評估風險暴露情況,Malwarebytes透過其入口網站,提供免費數碼足跡掃描服務,讓用戶檢查自己的電郵地址,是否出現在洩漏資料集中。
回顧2022年9月,愛爾蘭數據保護委員會(DPC)依據歐盟《通用數據保障條例》(GDPR),重罰Meta旗下IG大約4.05億歐羅(約36.82億港元),原因是不當處理青少年數據,讓13歲至17歲用戶的賬號預設為公開,並容許他們建立商業賬號而公開電話及電郵,造成兒童私隱外洩。在2021年,愛爾蘭監管部門判罰Meta旗下即時通訊程式WhatsApp,罰款高達2.25億歐羅(約20.46億港元)。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
