Se negli ultimi giorni avete trovato nella vostra casella di posta una mail con oggetto Resetta la tua password firmata Instagram, non siete soli. Milioni di utenti in tutto il mondo, Italia compresa, hanno ricevuto lo stesso messaggio. E no, questa volta non si tratta della solita campagna di phishing a cui siamo ormai tristemente abituati. La situazione è molto più complessa, e per certi versi più preoccupante. Secondo quanto riportato da Malwarebytes Labs, società specializzata in sicurezza informatica, dietro questo diluvio di email ci sarebbe un massiccio furto di dati che ha coinvolto 17,5 milioni di account Instagram. Un database contenente informazioni sensibili degli utenti sarebbe stato sottratto e messo in vendita sul dark web, quella porzione di internet accessibile solo attraverso strumenti specifici e rifugio abituale di attività illecite.
La gravità della situazione non risiede solo nei numeri, già di per sé impressionanti. Ciò che rende questo data breach particolarmente allarmante è la natura delle informazioni compromesse. Non parliamo soltanto di credenziali digitali come nomi utente, email o numeri di telefono, dati che purtroppo siamo abituati a vedere circolare dopo ogni violazione. Questa volta i criminali informatici sarebbero entrati in possesso anche degli indirizzi fisici di residenza degli utenti. Come è stato possibile? Secondo gli esperti, la falla di sicurezza sarebbe legata ai profili Business e agli account collegati allo Shopping su Instagram, quelli che per loro natura richiedono informazioni più dettagliate per poter operare. Questo trasforma radicalmente la portata del rischio: non si tratta più solo di una minaccia virtuale, ma di un pericolo che può materializzarsi nel mondo reale. Gli indirizzi fisici espongono le vittime al doxxing, la pratica di rendere pubblici i dati privati di una persona per invogliare altri a molestarla o perseguitarla fisicamente.
Instagram, dopo quasi 36 ore di silenzio assordante durante le quali gli utenti hanno letteralmente preso d’assalto i social cercando risposte, ha finalmente rotto gli indugi. All’alba dell’11 gennaio, sull’account X ufficiale della piattaforma è apparso un messaggio che suonava come un tentativo di spegnere l’incendio: “Abbiamo risolto un problema che consentiva a una entità esterna di richiedere email di reimpostazione della password per alcuni utenti. Non si è verificata alcuna violazione dei nostri sistemi e i vostri account Instagram sono protetti. Potete ignorare queste email. Ci scusiamo per il disguido“. La comunicazione, oltre a essere arrivata con imperdonabile ritardo, lascia aperti più interrogativi di quanti ne risolva. Chi è questa misteriosa entità esterna di cui parla Meta? Come ha potuto accedere a un sistema teoricamente blindato? Perché ha deciso di attivare milioni di richieste di reset password? E soprattutto, se non c’è stata alcuna violazione dei sistemi come sostiene l’azienda, da dove provengono i dati che secondo Malwarebytes sarebbero in vendita sul dark web?
Gli esperti di sicurezza informatica puntano il dito su una vulnerabilità nelle API di Instagram, quelle interfacce di programmazione che permettono alle applicazioni di comunicare tra loro. Il problema, secondo le ricostruzioni, risalirebbe addirittura al 2024, suggerendo che i dati potrebbero essere in circolazione da tempo prima che la situazione esplodesse pubblicamente. Ma c’è un ulteriore livello di pericolosità in questa vicenda. La confusione generata dalle email legittime provenienti davvero da Instagram ha creato il terreno perfetto per i soliti sciacalli digitali. Criminali informatici completamente estranei al furto originale stanno approfittando del caos per lanciare massicce campagne di phishing, inviando milioni di email false che imitano alla perfezione quelle autentiche.
Il rischio è concreto e insidioso: potreste avere nella stessa casella di posta una mail vera inviata da Meta e una falsa creata da un truffatore, arrivate a pochi minuti di distanza. Distinguerle è praticamente impossibile per un occhio non allenato. L’obiettivo dei criminali è semplice quanto efficace: sperare che l’utente, spaventato e confuso, clicchi su un link fraudolento e regali spontaneamente le proprie credenziali di accesso. Tra i bersagli privilegiati di questa ondata ci sono gli account con un alto numero di follower. Influencer, sportivi, politici, aziende: profili che valgono oro sul mercato nero digitale. Come spiega il collettivo di sicurezza italiano RansomNews, rubare il profilo a un personaggio pubblico permette agli hacker di chiedere un riscatto in denaro per la restituzione dell’account o per non divulgare contenuti privati.
Il paradosso è che questi profili di alto valore sono spesso meno protetti di quelli degli utenti comuni. La gestione di un account da milioni di follower viene affidata a team numerosi: social media manager, agenzie, assistenti che lavorano da luoghi diversi. L’autenticazione a due fattori, quel sistema che richiede un codice temporaneo oltre alla password, diventa un ostacolo logistico. Condividere un codice che cambia ogni 30 secondi tra persone diverse è laborioso, quindi per pura comodità operativa questa protezione fondamentale viene spesso disattivata. Come proteggersi in questa giungla di minacce reali e potenziali? La prima regola è mantenere la calma ma agire con decisione. Non fidatevi mai delle email in arrivo, anche se sembrano autentiche. Aprite Instagram direttamente dall’app ufficiale o digitando manualmente l’indirizzo nel browser, andate nelle Impostazioni e cambiate la password da lì. Scegliete una combinazione robusta, diversa da quelle che utilizzate su altri servizi.
L’attivazione dell’autenticazione a due fattori è fondamentale, nonostante possa sembrare scomoda. Instagram offre una procedura guidata nel proprio centro di assistenza che permette di configurarla in pochi passaggi. Potete scegliere tra diverse opzioni: SMS, app di autenticazione come Google Authenticator o Authy, o chiavi di sicurezza fisiche per i più paranoici. Un altro controllo essenziale riguarda i dispositivi autorizzati ad accedere al vostro account. Attraverso il centro gestione account di Meta potete verificare quali smartphone, tablet o computer sono collegati ai vostri profili Instagram e Facebook, e rimuovere quelli che non riconoscete o che non utilizzate più.
La vicenda solleva interrogativi più ampi sulla gestione della sicurezza da parte dei colossi tecnologici. Come è possibile che vulnerabilità note da anni rimangano aperte? Perché le comunicazioni agli utenti arrivano sempre in ritardo, quando ormai il danno è fatto? La risposta, purtroppo, è sempre la stessa: finché il costo reputazionale di questi incidenti rimane inferiore ai profitti generati, la sicurezza degli utenti rimarrà una priorità secondaria. Nel frattempo, i dati di 17,5 milioni di persone circolano liberamente nel dark web, disponibili al miglior offerente. Informazioni che possono essere utilizzate per truffe mirate, furti di identità, ricatti o peggio. E mentre Meta minimizza parlando di disguidi e entità esterne, milioni di utenti si trovano esposti a rischi concreti senza nemmeno sapere se i loro dati sono stati compromessi.
