Negli ultimi giorni milioni di utenti Instagram hanno trovato nella propria casella di posta elettronica un messaggio inaspettato: una richiesta di reimpostazione della password che non avevano mai sollecitato. L’email sembrava legittima in ogni dettaglio, dal logo di Instagram a quello di Meta, dalla grafica professionale al tono formale del messaggio. Il contenuto recitava: Ciao {username}, abbiamo ricevuto una richiesta di reimpostazione della tua password Instagram. Se ignori questo messaggio, la tua password non verrà modificata. Se non hai richiesto la reimpostazione della password, faccelo sapere. A prima vista potrebbe sembrare l’ennesimo tentativo di phishing, una di quelle truffe via email che cercano di rubare le credenziali degli utenti attraverso link contraffatti e comunicazioni false. Ma questa volta la situazione è diversa, più complessa e decisamente più preoccupante. Le email erano autentiche, provenienti realmente dai server di Meta, ma sollecitate da qualcuno che non aveva alcuna autorizzazione a farlo.
La portata del fenomeno è tutt’altro che marginale. Secondo gli esperti di sicurezza informatica di Malwarebytes, sarebbero circa 17,5 milioni i profili Instagram interessati da queste comunicazioni anomale. Un numero che fa impressione e che solleva interrogativi inquietanti sulla sicurezza dei nostri dati personali sulle piattaforme social. Ma cosa è successo davvero? Le versioni dei fatti si scontrano in una narrazione confusa dove certezze e dubbi si mescolano, lasciando gli utenti nel mezzo di una nebbia informativa difficile da attraversare.
Da un lato abbiamo l’allarme lanciato dagli analisti di sicurezza. In un post pubblicato su Bluesky, Malwarebytes ha ricostruito quello che potrebbe essere uno scenario da incubo digitale: criminali informatici avrebbero sottratto un database contenente informazioni personali di 17,5 milioni di utenti Instagram. Non si tratterebbe di dati banali, ma di un pacchetto completo che include nomi utente, nomi completi, ID utente, indirizzi email, numeri di telefono, paesi di residenza e persino posizioni parziali. Questi dati, sempre secondo Malwarebytes, sarebbero già in vendita sul dark web. A conferma di questa ipotesi c’è la comparsa, su un forum nelle zone oscure di internet, di un annuncio pubblicato da un criminale informatico che si fa chiamare Solonik. Quest’ultimo avrebbe messo in vendita informazioni che presumibilmente riguarderebbero proprio quei 17,5 milioni di profili Instagram. Il tempismo della comparsa di questo annuncio, coincidente con l’ondata di email di recupero password, non può essere liquidato come una semplice casualità.
Gli esperti di Malwarebytes sostengono che questo data dump potrebbe includere anche dati provenienti da altre presunte violazioni di Instagram più vecchie, configurandosi come una sorta di compilazione di informazioni circolate in gruppi privati prima di essere rese pubbliche. Una teoria che, se confermata, renderebbe il quadro ancora più preoccupante. Dall’altro lato dello scontro narrativo troviamo Meta, la società a cui fa capo Instagram, che ha smentito categoricamente qualsiasi violazione dei propri sistemi. La risposta ufficiale è arrivata, curiosamente, non attraverso i canali proprietari come Threads o il blog ufficiale di Instagram, ma tramite un post su X, la piattaforma rivale dell’ex Twitter.
Nel messaggio, Meta ha spiegato: “Abbiamo risolto un problema che consentiva a soggetti esterni di richiedere l’invio di email di reimpostazione della password per alcuni utenti. Non si è verificata alcuna violazione dei nostri sistemi e i tuoi account Instagram sono al sicuro. Puoi ignorare tali email. Ci scusiamo per l’eventuale confusione“. Secondo questa versione dei fatti, il fenomeno sarebbe imputabile a un bug tecnico, ora corretto, che permetteva a una non meglio specificata parte esterna di attivare il meccanismo di recupero password per un numero limitato di utenti. L’ipotesi è che qualcuno abbia sfruttato una debolezza nel modulo di richiesta, probabilmente automatizzando l’inserimento di indirizzi email in massa, per generare spam senza però avere mai avuto accesso reale all’interno degli account.
Ma questa spiegazione, per quanto rassicurante nelle intenzioni, lascia aperti diversi interrogativi. Il più evidente riguarda proprio la natura del bug: se davvero si è trattato di una semplice vulnerabilità nel modulo di recupero password, come hanno fatto questi soggetti esterni a conoscere gli indirizzi email di milioni di utenti? Per poter richiedere la reimpostazione della password è necessario inserire l’indirizzo email associato all’account, il che presuppone che chi ha sfruttato il bug fosse già in possesso di un database di email. Shahak Shalev, responsabile globale della ricerca su truffe e intelligenza artificiale presso Malwarebytes, ha commentato la situazione sottolineando proprio questa contraddizione: le dichiarazioni di Meta non spiegano come la parte esterna disponesse degli indirizzi email degli utenti che hanno ricevuto le richieste di reset.
Rimangono incertezze anche sulla reale portata dell’evento e sull’identità di chi ha sfruttato questa vulnerabilità. Si è trattato di un attacco coordinato da parte di un gruppo criminale organizzato o dell’azione di un singolo attore malintenzionato? I dati in vendita sul dark web sono realmente frutto di questa operazione o provengono da violazioni precedenti? E soprattutto: quali sono le reali conseguenze per gli utenti coinvolti? In uno scenario così confuso, dove le versioni ufficiali e le analisi degli esperti di sicurezza divergono in modo così netto, la prudenza è l’unica strategia ragionevole. Indipendentemente da quale sia la verità dei fatti, ci sono alcune azioni concrete che chiunque abbia ricevuto questa email dovrebbe mettere in atto immediatamente.
La prima è reimpostare la password del proprio account Instagram. Anche se Meta sostiene che ciò non sia necessario, è sempre buona norma cambiare le credenziali quando si sospetta che qualcosa non quadri. Per farlo in modo sicuro, evitate di cliccare su qualsiasi link presente nelle email ricevute: aprite direttamente l’app di Instagram, andate sul vostro profilo, premete sul pulsante con le tre linee orizzontali e navigate in Centro gestione account, poi Password e sicurezza e infine Modifica password. Il secondo passo fondamentale è attivare l’autenticazione a due fattori. Questo sistema aggiunge un livello di protezione supplementare al vostro account, richiedendo non solo la password ma anche un secondo fattore di autenticazione per accedere. Si tratta di una barriera che rende molto più difficile per eventuali malintenzionati violare il vostro profilo, anche se disponessero della vostra password.
Per attivare questa funzione, dalla sezione Centro gestione account, andate su Password e sicurezza e toccate la dicitura Autenticazione a due fattori. Seguite le istruzioni che compariranno. Un consiglio importante: scegliete di ricevere il secondo fattore tramite app di autenticazione e non via SMS. I messaggi di testo, infatti, sono considerati poco sicuri da molti esperti di cybersecurity, come ha sottolineato anche l’FBI in passato. Infine, la terza regola d’oro: non cliccate mai sui link presenti nelle email che dichiarano di provenire da Instagram o Meta. I criminali informatici sono maestri nello sfruttare situazioni di confusione generale come questa per inviare finte comunicazioni contenenti link malevoli. Questi collegamenti potrebbero portarvi su pagine clone perfettamente identiche a quelle ufficiali, progettate per rubare le vostre credenziali nel momento in cui le inserite.
La vicenda mette in luce ancora una volta quanto sia fragile l’ecosistema della sicurezza digitale. Che si tratti di un bug sfruttato in modo malevolo o di una vera e propria violazione di dati su larga scala, il risultato non cambia: milioni di persone si sono trovate esposte a un rischio potenziale senza averlo scelto, semplicemente per il fatto di avere un account su una piattaforma social. Non è la prima volta che Instagram si trova al centro di polemiche legate alla sicurezza dei dati degli utenti, e probabilmente non sarà l’ultima. Quello che conta, in attesa di capire quale sia la verità definitiva su questa vicenda, è proteggere se stessi adottando tutte le precauzioni possibili. Perché nel mondo digitale, come in quello reale, la differenza tra essere vittime o rimanere al sicuro passa spesso attraverso piccoli gesti di attenzione quotidiana.
