Diciassette milioni e mezzo. Non è il jackpot di una lotteria, ma il numero di account Instagram compromessi in quella che si configura come una delle violazioni più significative degli ultimi anni. I dati personali di milioni di utenti stanno già circolando liberamente nei forum frequentati da cybercriminali, e la parola chiave qui è liberamente: nessuno sta vendendo queste informazioni al miglior offerente. Sono state pubblicate gratuitamente, una scelta che moltiplica esponenzialmente il rischio per chiunque sia coinvolto. A confermare la violazione è Malwarebytes, società specializzata in sicurezza informatica che ha individuato il database durante le proprie operazioni di sorveglianza del dark web. Non si tratta di voci incontrollate o allarmismi da tastiera: il pacchetto di dati è reale, verificato e accessibile a chiunque sappia dove cercarlo.
Il contenuto del dataset è un catalogo completo di informazioni sensibili: nomi utente, nomi reali, indirizzi email, numeri di telefono, indirizzi fisici parziali e altri dettagli di contatto. Materiale preziosissimo per chi orchestra campagne di phishing, tentativi di furto d’identità o attacchi mirati. Pensate a quanto sia facile confezionare un messaggio credibile quando si dispone non solo dell’email di una persona, ma anche del suo nome completo, del numero di telefono e magari di qualche dettaglio sulla sua posizione geografica. La violazione sarebbe riconducibile a una falla nelle API di Instagram risalente al 2024. Per chi non mastica quotidianamente tecnologia, le API (Application Programming Interface) sono sostanzialmente i canali attraverso cui applicazioni e servizi terzi accedono ai dati di una piattaforma. Quando questi canali non sono adeguatamente protetti, si trasformano in autostrade a otto corsie per chiunque voglia estrarre informazioni su larga scala. Il problema è che questa particolare autostrada è rimasta aperta abbastanza a lungo da permettere il prelievo di milioni di profili. I dati sono riemersi pubblicamente solo in questi giorni, ma il danno era già fatto.
Mentre il database viaggia indisturbato tra i canali del cybercrimine, da Meta non arriva alcuna conferma ufficiale. Le richieste di commento da parte dei media sono rimaste finora senza risposta, le pagine dedicate alla sicurezza non riportano aggiornamenti, i canali social dell’azienda tacciono. Un copione già visto, purtroppo, che solleva interrogativi inquietanti sulla trasparenza delle grandi piattaforme nei confronti dei propri utenti. Il silenzio stride particolarmente nel contesto europeo, dove il GDPR impone obblighi stringenti di notifica in caso di violazioni che mettano a rischio i diritti degli interessati. Se il breach fosse confermato e riconducibile a negligenze nella protezione dei dati, Meta potrebbe trovarsi esposta a sanzioni tutt’altro che simboliche. Ma prima ancora delle conseguenze legali, c’è una questione di fiducia: milioni di persone affidano quotidianamente le proprie informazioni personali a Instagram, e il minimo che possono aspettarsi è di essere informate quando qualcosa va storto. Non dopo settimane di silenzio, non attraverso notizie filtrate da società di sicurezza terze.
Gli esperti avvertono che i dati trapelati verranno quasi certamente sfruttati per campagne di phishing sofisticate. Il meccanismo è tanto semplice quanto efficace: disponendo di email, numeri di telefono e altri dettagli personali, gli attaccanti possono confezionare messaggi che sembrano provenire direttamente da Instagram. Alcuni utenti stanno già ricevendo notifiche di reset password che appaiono legittime in tutto e per tutto. Ed è qui che si annida il paradosso: distinguere le comunicazioni autentiche da quelle fraudolente diventa estremamente difficile quando i criminali dispongono delle stesse informazioni della piattaforma. Come si fa a capire se quella mail che ti chiede di reimpostare la password è davvero di Instagram o è un tentativo di phishing quando contiene il tuo nome, la tua email e fa riferimento a dettagli del tuo account che solo Instagram dovrebbe conoscere. È il cortocircuito della sicurezza nell’era delle violazioni di massa: anche i meccanismi pensati per proteggere gli account possono trasformarsi in vettori di attacco.
Chi segue le vicende di Meta sa che questo non è un fulmine a ciel sereno. Nel 2021 un leak aveva esposto i dati di 533 milioni di utenti Facebook. Prima ancora, lo scandalo Cambridge Analytica aveva rivelato vulnerabilità ben più profonde nel modo in cui la piattaforma gestiva le informazioni personali. Il pattern si ripete con una regolarità quasi metronoma: violazione, silenzio iniziale, minimizzazione, promesse di miglioramento. Poi si ricomincia. La questione trascende il singolo episodio e investe il modello stesso delle piattaforme social, costruite per raccogliere e monetizzare quantità enormi di dati personali ma strutturalmente incapaci di garantirne una protezione adeguata. Non è un problema tecnico risolvibile con un aggiornamento software: è una contraddizione intrinseca a un business model che fa dell’accumulo di informazioni personali la propria ragion d’essere.
Per chi teme di essere coinvolto, le raccomandazioni sono quelle di sempre: cambiare immediatamente la password di Instagram, attivare l’autenticazione a due fattori, diffidare di qualsiasi comunicazione che richieda di cliccare su link o inserire credenziali. Precauzioni sensate, certamente, ma che come sempre scaricano sull’utente finale la responsabilità di rimediare a falle che originano altrove. L’autenticazione a due fattori, in particolare, rappresenta una barriera significativa contro gli accessi non autorizzati: anche se qualcuno dovesse impossessarsi della vostra password, avrebbe comunque bisogno del codice temporaneo generato dal vostro smartphone per entrare nell’account. È una seccatura in più quando fate login, ma considerando lo scenario attuale, è una seccatura che vale la pena sopportare.
Un altro consiglio pratico: fate attenzione a qualsiasi messaggio che crei un senso di urgenza. “Il tuo account verrà sospeso se non confermi l’identità entro 24 ore” è un classico del phishing. Instagram, come la maggior parte delle piattaforme legittime, non opera mai con ultimatum da telenovela. Se ricevete comunicazioni di questo tipo, andate direttamente sull’app o sul sito ufficiale digitando l’indirizzo nel browser, senza cliccare su link nelle email. Resta da vedere se e quando Meta romperà il silenzio, se ci saranno conseguenze reali per questa ennesima violazione, se qualcosa cambierà nel modo in cui le piattaforme social gestiscono i nostri dati. La storia recente non autorizza grande ottimismo, ma intanto diciassette milioni e mezzo di persone si ritrovano con le proprie informazioni personali in pasto al mercato nero del cybercrimine. E la sensazione è che, ancora una volta, saranno loro a dover gestire le conseguenze di scelte e negligenze altrui.
