Nei giorni scorsi milioni di utenti Instagram hanno vissuto un piccolo incubo digitale: email su email che notificavano richieste di reimpostazione della password. Messaggi mai richiesti, arrivati a raffica, spesso in piena notte. La prima reazione è stata quella di sempre: spam, tentativi di phishing, l’ennesimo attacco di qualche hacker in cerca di credenziali facili. Ma quando le segnalazioni hanno iniziato a moltiplicarsi sui social, è emerso che non si trattava di casi isolati. Il fenomeno aveva dimensioni ben più ampie. A quel punto è intervenuta Malwarebytes, società specializzata in sicurezza informatica, che ha lanciato un allarme inquietante. Secondo l’azienda, i dati sensibili di circa 17,5 milioni di account Instagram sarebbero stati compromessi e messi in vendita sul dark web. Non stiamo parlando solo di nomi utente, ma di un dataset completo: indirizzi fisici, numeri di telefono, email e altre informazioni personali. Materiale prezioso per chi orchestra campagne di phishing mirato o tentativi di compromissione strutturati.
Malwarebytes ha spiegato di aver individuato questo archivio durante le normali attività di scansione del dark web, collegando l’episodio a una possibile esposizione di un’API di Instagram risalente al 2024. In una comunicazione ai propri clienti, la società ha evidenziato come la disponibilità di questi dati possa favorire attacchi più sofisticati. L’invio ripetuto di email di reset della password, secondo questa ricostruzione, rappresenterebbe il primo passo per indurre gli utenti a compiere azioni rischiose, sfruttando comunicazioni che appaiono del tutto legittime. La versione ufficiale di Instagram è però di segno completamente opposto. La piattaforma di proprietà di Meta ha escluso categoricamente l’esistenza di un data breach, chiarendo che non vi sarebbe stata alcuna compromissione dei sistemi. In un messaggio pubblicato su X, Instagram ha spiegato che l’episodio sarebbe stato causato da un problema tecnico che consentiva a una parte esterna di richiedere l’invio di email di reimpostazione della password per alcuni utenti.
“Abbiamo risolto un problema che permetteva a un soggetto esterno di richiedere email di reset della password per alcune persone. Non c’è stata alcuna violazione dei nostri sistemi e gli account Instagram sono sicuri“, ha scritto l’azienda, invitando gli utenti a ignorare le comunicazioni ricevute e scusandosi per la confusione generata. Instagram non ha però fornito ulteriori dettagli sull’identità del soggetto esterno coinvolto né sulla natura tecnica specifica del problema. Siamo quindi di fronte a due narrazioni contrapposte. Da un lato Malwarebytes che parla di una violazione massiva con dati già in circolazione nel sottobosco digitale più oscuro. Dall’altro Instagram che minimizza l’accaduto, riducendolo a un bug tecnico già risolto. Chi ha ragione? La risposta non è semplice, anche perché episodi di questo tipo raramente si concludono con una trasparenza totale nelle prime ore.
Quello che possiamo dire con certezza è che le email di reset sono arrivate davvero, e in quantità tale da generare allarme diffuso. Se si sia trattato di un semplice problema tecnico sfruttato da qualcuno o della conseguenza di una violazione più profonda, lo sapremo probabilmente nei prossimi mesi, quando emergeranno maggiori dettagli o eventuali conferme indipendenti. Nel frattempo, agli utenti resta il dubbio e la necessità di proteggere i propri account. Attivare la verifica a due fattori rimane la difesa più efficace contro qualsiasi tentativo di accesso non autorizzato, a prescindere da come si sia verificato l’episodio. Cambiare la password con una combinazione robusta e unica per Instagram è un’altra precauzione sensata, soprattutto se si utilizza la stessa credenziale su più piattaforme.
La situazione mette ancora una volta in evidenza quanto sia fragile l’equilibrio tra la fiducia che riponiamo nei social network e la reale sicurezza dei nostri dati. Instagram conta miliardi di utenti in tutto il mondo, e anche un “semplice problema tecnico” può avere conseguenze su scala planetaria. Che si tratti di una violazione vera e propria o di una falla sfruttata temporaneamente, il risultato pratico per milioni di persone è stato lo stesso: preoccupazione, confusione e la sensazione di non avere il controllo sul proprio profilo digitale. La vicenda solleva anche interrogativi più ampi sulla trasparenza delle big tech quando si verificano incidenti di sicurezza. Instagram ha risposto rapidamente, ma senza entrare nei dettagli tecnici. Malwarebytes ha lanciato l’allarme, ma senza fornire prove pubbliche del dataset. In mezzo, gli utenti, costretti a navigare tra versioni contrastanti senza strumenti per verificare autonomamente cosa sia accaduto davvero ai propri dati.
Monitorare eventuali comunicazioni sospette nelle prossime settimane sarà importante. Se i dati fossero davvero in circolazione, potrebbero aumentare i tentativi di phishing mirati, con email che sfruttano informazioni personali reali per apparire credibili. Prestare attenzione a messaggi che chiedono di cliccare su link o fornire ulteriori credenziali resta sempre la regola d’oro, indipendentemente da quanto professionale possa sembrare la comunicazione. Per ora, Instagram invita a ignorare le email ricevute e assicura che gli account sono al sicuro. Malwarebytes continua a sostenere che esiste un problema più profondo. La verità, come spesso accade nel mondo della cybersicurezza, potrebbe essere più complessa di entrambe le versioni.
