Rò rỉ dữ liệu Instagram: 17,5 triệu tài khoản người dùng bị rao bán trên dark web

[WhiteHat Team]

Một sự cố an ninh mạng lớn liên quan đến nền tảng mạng xã hội Instagram đã làm dậy sóng cộng đồng người dùng và các chuyên gia bảo mật. Dữ liệu của khoảng 17.5 triệu tài khoản Instagram được cho là đã xuất hiện và lưu hành trên các dark web, khiến hàng triệu người đối mặt với nguy cơ bị lừa đảo, đánh cắp danh tính, tấn công phishing và các hành vi gian lận khác. Sự việc đặt ra câu hỏi lớn về cách các nền tảng kỹ thuật số bảo vệ thông tin cá nhân của người dùng trong bối cảnh tội phạm mạng ngày càng tinh vi và hoạt động mạnh mẽ hơn bao giờ hết.
​

​

Vụ việc được nhiều hãng an ninh mạng như Malwarebytes phát hiện và chia sẻ rằng một tập dữ liệu chứa thông tin cá nhân của khoảng 17.5 triệu người dùng Instagram đã được đăng tải miễn phí trên diễn đàn tội phạm mạng vào đầu tháng 01/2026 bởi một tài khoản bí danh “Solonik”. Dữ liệu bị rò rỉ bao gồm:​

• Tên đầy đủ và username​
• Địa chỉ email xác thực​
• Số điện thoại​
• ID người dùng​
• Quốc gia và một phần địa chỉ vị trí​

Những thông tin này không chỉ là dữ liệu “nhìn thấy được” trên trang cá nhân mà còn có thể dùng để xác thực danh tính ngoài ứng dụng, làm tăng cực độ rủi ro bị lừa đảo hay tấn công lừa gạt.

Instagram khẳng định không có bằng chứng về việc hệ thống nội bộ bị xâm nhập trực tiếp và gọi đây là sự cố liên quan đến lỗ hổng kích hoạt yêu cầu đặt lại mật khẩu từ bên ngoài đã được khắc phục. Tuy nhiên, dữ liệu bị thu thập trước đó vẫn đang được tội phạm mạng lợi dụng.​

Nguyên nhân, phát hiện từ đâu?​

Nhiều báo cáo phân tích cho thấy dữ liệu bị rò rỉ có nguồn gốc từ API Instagram bị cấu hình sai hoặc bảo vệ không chặt chẽ vào năm 2024, cho phép kẻ xấu thu thập dữ liệu ở quy mô lớn qua các công cụ tự động. Dữ liệu này được chia sẻ dưới hình thức file JSON/TXT, cấu trúc giống như phản hồi API, chứng tỏ nó từng được trích xuất từ hệ thống ứng dụng chính thức.

API (Application Programming Interface) là phần mềm trung gian để ứng dụng “nói chuyện” với nhau. Nếu API này thiếu cơ chế giới hạn tốc độ, chặn truy vấn bất thường hay không kiểm soát quyền truy cập hợp lý, thì sẽ tạo cơ hội để kẻ tấn công thu thập dữ liệu số lượng lớn mà không bị phát hiện.​

​

Khai thác lỗ hổng: Cơ chế và cách hoạt động​

Kẻ xấu không cần xâm nhập sâu vào hệ thống nội bộ Instagram. Họ tận dụng các kỹ thuật:​

• Scraping dữ liệu công khai / API: dùng script tự động để quét và thu thập thông tin hiển thị qua API trước khi bị chặn.​
• Kích hoạt chức năng yêu cầu đặt lại mật khẩu: gây ra làn sóng email đặt lại mật khẩu gửi tới nhiều người dùng để xác nhận tài khoản tồn tại và tận dụng dữ liệu liên kết email/số điện thoại.​

Sự kết hợp giữa API bị khai thác và cơ chế yêu cầu reset này đã tạo ra cơ hội để kẻ xấu biến dữ liệu thu thập thành kịch bản tấn công thực tế.
​

​

Do vậy, nhiều người dùng đã nhận được email đặt lại mật khẩu Instagram không do họ khởi xướng, khiến mọi người nghĩ tài khoản bị “hack” trong khi thực tế đây có thể là hành vi lừa đảo kèm mã 2FA nhằm lấy quyền kiểm soát tài khoản.​

Rủi ro nếu lỗ hổng bị khai thác​

Mặc dù mật khẩu trực tiếp chưa bị đánh cắp, nhưng dữ liệu cá nhân bị rò rỉ vẫn rất nhạy cảm và có thể gây ra:​

• Phishing: Kẻ xấu gửi email trông giống Instagram để lấy thông tin đăng nhập hay mã 2FA.​
• SIM swap/ Social engineering: Sử dụng số điện thoại để lấy quyền qua tin nhắn/ứng dụng xác thực.​
• Impersonation (mạo danh):Tạo các tài khoản giả dựa trên thông tin thật.​
• Credential stuffing/ brute force: Dùng dữ liệu thu thập để thử đăng nhập vào nhiều dịch vụ khác.​

Rủi ro càng lớn nếu người dùng tái sử dụng email/số điện thoại trong nhiều tài khoản khác nhau — điều rất phổ biến hiện nay.​

Hậu quả đã và đang xảy ra​

Một số người dùng đã báo cáo rằng:​

• Họ nhận email reset mật khẩu không do mình yêu cầu.​
• Có dấu hiệu tấn công nhắm vào tài khoản bằng dữ liệu bị rò rỉ.​
• Hoạt động reset liên tục khiến tài khoản khó sử dụng bình thường.​

Ngoài việc mất quyền truy cập tài khoản, còn có nguy cơ mất quyền kiểm soát email liên kết, mở đường cho kẻ xấu tiến hành chiếm quyền các dịch vụ khác.​

Làm thế nào để phát hiện / ngăn chặn lỗ hổng?​

Hiện tại Instagram đã vá lỗi kích hoạt reset email bất thường, tuy nhiên dữ liệu đã bị thu thập trước đó vẫn lưu hành. Người dùng và tổ chức cần:​

• Theo dõi các email đặt lại mật khẩu bất thường.​
• Rà soát các dịch vụ liên quan email/số điện thoại bị lộ.​
• Không click các đường link nghi ngờ từ email/SMS không rõ nguồn.​
• Liên tục cập nhật ứng dụng và bảo mật từ Meta.​

Đối với các tổ chức phát triển API / nền tảng:​

• Áp dụng rate limiting, kiểm soát truy cập API nghiêm ngặt.​
• Giám sát hoạt động bất thường và chặn các truy vấn tự động.​
• Thực hiện kiểm tra bảo mật thường xuyên.​
• Hạn chế dữ liệu phản hồi API chỉ ở mức cần thiết.​

Khuyến cáo từ chuyên gia an ninh mạng​

Các chuyên gia an ninh mạng khuyến nghị:​

• Kích hoạt xác thực hai yếu tố (2FA) với ứng dụng xác thực (authenticator app), không chỉ SMS.​
• Thay đổi mật khẩu mạnh, đặc biệt nếu dùng email/số điện thoại bị lộ ở nhiều nơi.​
• Không tái sử dụng mật khẩu cho nhiều dịch vụ.​
• Cảnh giác với các email lừa đảo, link giả mạo.​

Sự việc rò rỉ dữ liệu Instagram cho thấy ngay cả các nền tảng quy mô lớn cũng có thể gặp sai sót trong kiểm soát dữ liệu và API, khiến thông tin cá nhân của hàng triệu người dùng bị lộ. Dù Meta đã vá lỗi kỹ thuật gây reset email bất thường, chìa khóa bảo mật không nằm hoàn toàn ở nhà cung cấp dịch vụ mà còn phụ thuộc vào cách người dùng bảo vệ tài khoản và nhận thức rủi ro. Không có nền tảng nào hoàn toàn miễn dịch với rủi ro; do vậy mỗi người cần chủ động trang bị kiến thức cơ bản về bảo mật, sử dụng các phương pháp bảo vệ dữ liệu tối ưu và luôn cảnh giác với các dấu hiệu bất thường trong hoạt động tài khoản của mình.​

WhiteHat​