Instagram ha dovuto fare i conti con un incidente di sicurezza che ha sollevato un polverone mediatico senza pari visto che ha coinvolto oltre una decina di milioni di utenti, ma la piattaforma di Meta ha prontamente smentito ogni ipotesi di violazione dei propri sistemi.
L'episodio, emerso attraverso un post su Bluesky dell'azienda di sicurezza informatica Malwarebytes, aveva inizialmente fatto temere una compromissione su larga scala dei dati degli utenti. La realtà dietro l'accaduto, tuttavia, appare meno allarmante di quanto inizialmente prospettato, pur sollevando interrogativi sulla robustezza dei meccanismo di protezione della piattaforma.
Tutto è iniziato quando Malwarebytes ha pubblicato uno screenshot di un'email di Instagram che informava gli utenti di una richiesta di reimpostazione della password. L'azienda di antivirus aveva affermato che 17,5 milioni di account Instagram avevano subito il furto di informazioni sensibili, inclusi username, indirizzi fisici, numeri di telefono ed email. Secondo Malwarebytes, questi dati sarebbero stati messi in vendita sul dark web, rappresentando un rischio concreto per attività criminali come phishing mirato, furto d'identità e accesso non autorizzato ad altri servizi.
La risposta ufficiale di Instagram è arrivata attraverso un canale inaspettato: non sulla propria piattaforma né su Threads, ma su X. L'azienda ha dichiarato di aver "risolto un problema che permetteva a una parte esterna di richiedere email di reimpostazione password per alcune persone", invitando gli utenti a ignorare tali messaggi e scusandosi per la confusione generata. La formulazione volutamente generica ha lasciato aperti diversi interrogativi tecnici sulla natura precisa della vulnerabilità sfruttata.
Dal punto di vista della sicurezza informatica, l'incidente evidenzia la differenza critica tra una violazione diretta dei sistemi (data breach) e lo sfruttamento di una funzionalità legittima per scopi malevoli. Nel caso di Instagram, sembra che nessun database interno sia stato compromesso, ma piuttosto che una falla nel meccanismo di richiesta password reset abbia consentito a terze parti di innescare l'invio massivo di email agli utenti. Questo tipo di vulnerabilità può essere sfruttato per campagne di ingegneria sociale particolarmente sofisticate, in cui le email phishing appaiono autentiche perché effettivamente provenienti dai server ufficiali di Instagram.
L'apparente contraddizione tra l'allarme di Malwarebytes e la smentita di Instagram solleva questioni sulla verifica delle fonti nelle emergenze di cybersecurity. È possibile che Malwarebytes abbia confuso dati provenienti da precedenti breach non correlati con l'incidente specifico delle email di reset, oppure che stesse facendo riferimento a dataset più vecchi già in circolazione sui marketplace del dark web. La tempistica e la comunicazione frammentaria tra diverse piattaforme social hanno certamente contribuito alla confusione generale.
L'episodio comunque si è rivelato un ottimo promemoria sull'importanza dell'attivazione dell'autenticazione a due fattori, sull'utilizzo di password uniche e robuste per ogni servizio, e soprattutto sulla verifica accurata di ogni comunicazione che richieda azioni su account personali.
Le normative GDPR impongono notifiche obbligatorie in caso di violazioni che coinvolgano dati di cittadini europei entro 72 ore, e l'assenza di tale comunicazione ufficiale da parte di Meta supporta la tesi che non si sia trattato di un vero e proprio data breach ai sensi della normativa europea.
Instagram non ha fornito dettagli su chi fosse la "parte esterna" responsabile dello sfruttamento della vulnerabilità, né sulla scala effettiva dell'incidente o sul numero di utenti coinvolti. L'approccio comunicativo minimalista di Meta su questioni di sicurezza è una costante che spesso lascia insoddisfatti sia gli esperti del settore sia gli utenti, alimentando speculazioni e riducendo la trasparenza su problematiche che invece richiederebbero maggiore apertura per permettere alla comunità tech di valutare correttamente i rischi e implementare contromisure adeguate.
