Instagram’da dev veri krizi: 17,5 milyon kullanıcının bilgileri ifşa oldu

Siber güvenlik araştırmacıları tarafından fark edilen ve doğrulanan sızıntı, milyonlarca kullanıcıyı kimlik hırsızlığı ve hedefli kimlik avı saldırılarına karşı savunmasız bırakan geniş bir iletişim veri setini kapsıyor. Söz konusu veri seti, bu haftanın başlarında “Solonik” takma adını kullanan bir saldırgan tarafından bilinen bir bilgisayar korsanı forumunda paylaşıldı.
“INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” başlığıyla yayınlanan ilanda, JSON ve TXT formatlarında toplam 17,5 milyon kayıt bulunduğu iddia edildi.

API sızıntısı ve veri kazıma yöntemi

Forumdaki paylaşıma göre verilerin, 2024 yılının sonlarında bir “API sızıntısı” yoluyla elde edildiği belirtildi. Saldırganların, standart güvenlik önlemlerini atlayarak dünya genelindeki kullanıcı profillerini veri kazıma (scraping) yöntemiyle topladığı ifade edildi.
Bu durum, hız sınırlaması veya gizlilik korumalarındaki bir zafiyetin, milyonlarca hesabın fark edilmeden sorgulanmasına olanak tanıdığını ortaya koydu.

Sızdırılan veriler hangi bilgileri içeriyor

Sızdırılan veri tabanının yalnızca kullanıcı adlarıyla sınırlı olmadığı, şu kritik bilgileri de barındırdığı aktarıldı:

• Tam isimler ve kullanıcı adları

• Doğrulanmış e-posta adresleri

  

  WhatsApp’tan 1 saatlik gizlilik hamlesi

  İçeriği Görüntüle

• Telefon numaraları

• Kullanıcı kimlik numaraları (ID)

• Ülke ve kısmi konum bilgileri

Veri örneklerinden alınan ekran görüntülerinin, bu alanların geçerliliğini doğruladığı ve siber suçluların hedefleri hakkında ayrıntılı profiller oluşturmasına imkân tanıdığı kaydedildi.

Aktif tehditler ve kullanıcılara güvenlik uyarısı

Veri sızıntısı yayımlanmasının ardından kısa sürede aktif bir tehdide dönüştü. Çok sayıda Instagram kullanıcısı, sızıntıdan sonra istenmeyen şifre sıfırlama bildirimlerinde ciddi artış yaşandığını bildirdi.
Sızıntıda şifrelerin yer almadığı belirtilse de e-posta ve telefon numaralarının birlikte bulunması, SIM kart değişimi saldırıları ve gelişmiş sosyal mühendislik yöntemleri için yeterli görülüyor. Dolandırıcıların, kendilerini Instagram destek ekibi gibi tanıtarak kullanıcıları 2FA kodlarını veya giriş bilgilerini vermeye ikna etmeye çalıştığı ifade ediliyor.

10 Ocak 2026 itibarıyla Meta’dan konuya ilişkin resmi bir açıklama gelmezken, siber güvenlik uzmanları tüm kullanıcılara SMS yerine kimlik doğrulama uygulamasıyla çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri ve talep edilmeyen şifre sıfırlama e-postalarını dikkate almamaları yönünde uyarıda bulunuyor.