Venerdì scorso, Malwarebytes, azienda specializzata in antivirus, gente che di solito sa riconoscere una minaccia informatica quando la vede, ha pubblicato un post su Bluesky con uno screenshot piuttosto allarmante. Email di Instagram che chiedevano il reset della password. Tante email. Troppe email. E secondo loro, dietro c’era una violazione massiccia: 17,5 milioni di account Instagram con dati sensibili rubati e messi in vendita sul dark web. Nomi utente, indirizzi fisici, numeri di telefono, email.
Instagram e le email sospette di reset delle password: 17 milioni di account a rischio?
Instagram ha risposto con un post. Non su Instagram, non su Threads, ma proprio su X, il territorio nemico. E il messaggio era rassicurante quanto vago: Abbiamo risolto un problema che permetteva a una parte esterna di richiedere email di reimpostazione della password per alcuni utenti
. E consigliano di ignorare quelle email. Nessuna violazione dei sistemi. Tutto sotto controllo. Solo che la storia non torna del tutto.
Instagram parla di “una parte esterna” come se fosse una forza della natura. Un vento anomalo che soffiava email di reset password. Non forniscono dettagli su chi fosse questa parte esterna, come abbiano sfruttato il sistema, o perché Instagram non se n’è accorto prima che milioni di utenti iniziassero a ricevere email sospette.
Il problema, dicono, è stato risolto. Ma risolto come? Hanno chiuso una falla di sicurezza? Hanno bloccato un bot? Hanno semplicemente disattivato qualcosa? Zero dettagli. E intanto Malwarebytes parla di 17,5 milioni di account con dati in vendita sul dark web. Instagram dice che non c’è stata alcuna violazione, ma entrambe le affermazioni non possono essere vere contemporaneamente.
Il dark web non è un mercatino dell’usato
Se davvero ci sono 17,5 milioni di profili Instagram con dati personali in circolazione sul dark web, qualcosa è andato storto. Forse non è stata una violazione diretta dei server di Instagram, tecnicamente parlando. Forse è stato sfruttato un bug che permetteva di automatizzare richieste di reset password e raccogliere informazioni attraverso le risposte del sistema. Forse è stata una combinazione di cose.
Ma dire di ignorare le email forse non è il consiglio migliore. Anche se Instagram non è stata tecnicamente violata, il risultato pratico per gli utenti è lo stesso: qualcuno ha i loro dati e può usarli per phishing, truffe, o peggio.
Gli indirizzi fisici sono particolarmente preoccupanti. Non è solo spam via email, è la possibilità di truffe mirate, stalking, furti d’identità. E Instagram risponde con un post di tre righe su X che dice sostanzialmente “oops, scusate per la confusione”.
Il modo in cui Instagram ha gestito la comunicazione non è proprio il massimo. Un post di poche righe su X in cui minimizza tutto, senza fornire alcuna spiegazione su cosa potevano fare gli utenti per proteggersi e come verificare se i propri dati fossero compromessi. Nessuna indicazione su quanto fosse grave il problema o quante persone fossero state effettivamente colpite. Solo di ignorare le email.
Quando “risolto” non significa “spiegato”
Instagram sostiene che i sistemi non sono stati violati. Forse è vero. Forse c’era solo un bug che permetteva a qualcuno di abusare della funzione di reset password. Ma allora perché non spiegare quale fosse il problema? Malwarebytes dice che ci sono 17,5 milioni di account compromessi. Instagram dice che non c’è stata alcuna violazione. La verità probabilmente sta da qualche parte nel mezzo.
Ti potrebbe interessare
12 gen 2026