Διαρροή 17,5 εκατ. λογαριασμών στο Instagram

Μια μεγάλη υπόθεση ασφάλειας ήρθε στο φως: στοιχεία που αφορούν περίπου 17,5 εκατ. χρήστες του Instagram διακινήθηκαν σε σκοτεινά ηλεκτρονικά φόρουμ και αναρτήθηκαν για πώληση σε αγορές του dark web. Την αρχική δημόσια ενημέρωση έκανε η εταιρεία κυβερνοασφάλειας Malwarebytes, επιβεβαιώνοντας ότι πρόκειται για κλεμμένα ή συλλεγμένα δεδομένα — μια βάση που περιλαμβάνει usernames, πλήρεις διευθύνσεις email, τηλεφωνικούς αριθμούς και μερικές φορές μερικά στοιχεία τοποθεσίας. Η κλίμακα και το είδος των πληροφοριών δημιουργούν άμεσα ρίσκα για στοχευμένες επιθέσεις social engineering, SIM swapping και άλλες μορφές κατάχρησης προσωπικών δεδομένων.

Πώς αποκαλύφθηκε η διαρροή

Οι πρώτες αναφορές αναδείχθηκαν από αναρτήσεις και screenshots σε αγορές του dark web, όπου το αρχείο εμφανιζόταν υπό τον τίτλο «Instagram.com 1B Users – 2024 Leak». Παρότι ο τίτλος ισχυρίζεται αριθμούς δισεκατομμυρίων χρηστών, το διαθέσιμο δείγμα περιελάμβανε 17,5 εκατομμύρια εγγραφές που φέρονται να προήλθαν από scraping σε παγκόσμιο επίπεδο το τελευταίο τρίμηνο του 2024. Ο πωλητής που εμφανίστηκε στη λίστα, με το όνομα «Subkek», ισχυρίζεται ότι τα δεδομένα συλλέχθηκαν πρόσφατα μέσω δημόσιων API και τοπικών πηγών ανά χώρα, χωρίς να απαιτηθεί παραβίαση των εσωτερικών συστημάτων του Instagram.

Τα screenshots που κυκλοφόρησαν και αναπαράχθηκαν από αναλυτές εμφανίζουν πεδία όπως «Usernames, Emails, Phones» και σφραγίδες χρόνου (November 2024), κάτι που ενίσχυσε την αξιοπιστία του δείγματος. Επιπλέον, χρήστες ανέφεραν ότι έλαβαν πραγματικά ειδοποιήσεις επαναφοράς κωδικού από το Instagram, ένδειξη ότι κάποιος προσπαθεί ενεργά να εκμεταλλευτεί τα διαθέσιμα στοιχεία για takeover λογαριασμών.

Τι περιλαμβάνει η διαρροή και γιατί ανησυχεί

Το σύνολο των στοιχείων που δημοσιεύθηκε δεν μοιάζει με παραδοσιακό leak όπου κλέβονται κωδικοί πρόσβασης· αντίθετα, πρόκειται για δεδομένα που επιτρέπουν στον επιτιθέμενο να φτιάξει ένα πλήρες προφίλ επικοινωνίας. Οι κύριες κατηγορίες δεδομένων είναι:

• Usernames: μοναδικά handles του Instagram, απαραίτητα για στοχευμένη αλληλεπίδραση.
• Emails: πλήρεις διευθύνσεις ηλεκτρονικού ταχυδρομείου, ικανές να λειτουργήσουν ως πρόσβαση ή recovery identifiers.
• Τηλεφωνικά νούμερα: κρίσιμα για επιθέσεις SIM swapping και επαλήθευση δύο βημάτων.
• Μερικά στοιχεία τοποθεσίας: μερικές φορές χώρα ή μερική διεύθυνση, ικανά να κάνουν την απάτη πιο πειστική.

Ο συνδυασμός email και τηλεφώνου με το username επιτρέπει πολυεπίπεδες επιθέσεις: από απλό spam και phishing μέχρι πιο προηγμένες τεχνικές όπως credential stuffing (χρήση συνδυασμών email-κωδικών από προηγούμενες διαρροές) και SIM swap επιθέσεις που στοχεύουν στην απομάκρυνση του ελέγχου πάνω στον αριθμό του θύματος. Ακόμα κι αν δεν υπάρχουν κλεμμένοι κωδικοί στο πακέτο, οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τις πληροφορίες αυτές ως αφορμή για επαλήθευση ταυτότητας ή για να παρακάμψουν μηχανισμούς ανάκτησης λογαριασμού.

Scraping αντί για «χάκινγκ» — τι σημαίνει τεχνικά

Σημειωτέον ότι η μέθοδος που περιγράφεται φαίνεται να βασίζεται σε συστηματικό scraping των δημόσιων προφίλ και αξιοποίησης ανοιχτών ή λανθασμένα προστατευμένων API του Instagram και άλλων τοπικών υπηρεσιών συλλογής δεδομένων. Το scraping είναι τεχνικά διαφορετικό από μια παραδοσιακή «εισβολή» σε servers· χρησιμοποιεί bots, proxies και scripts για να διαβάσει δημόσιο περιεχόμενο, να συνδυάσει πεδία και να συλλέξει τεράστιους όγκους πληροφοριών με τρόπο που μπορεί να περάσει απαρατήρητος αν η πλατφόρμα δεν εφαρμόζει αυστηρούς περιορισμούς ρυθμού (rate limiting) και ελέγχους ανωμαλίας.

Αυτή η προσέγγιση αποδεικνύει κενά στη διαχείριση των API, στην εφαρμογή πολιτικών προστασίας προσωπικών δεδομένων και στη δυνατότητα ανίχνευσης μαζικών αιτημάτων από κακόβουλα bots. Όταν οι πλατφόρμες εκθέτουν πιο πολλά δεδομένα από ό,τι χρειάζεται για την καθημερινή χρήση, ή όταν τρίτες υπηρεσίες δίνουν πρόσβαση με χαλαρούς ελέγχους, το αποτέλεσμα είναι συλλογές που μπορούν να πωληθούν ή να αναλυθούν για παράνομες χρήσεις.

Άμεσες συνέπειες και ενδεικτικές επιθέσεις

Αναφορές για πραγματικές ειδοποιήσεις επαναφοράς κωδικού υποδηλώνουν ότι οι επιτιθέμενοι ήδη επιχειρούν takeover. Σε συνδυασμό με παλαιότερες διαρροές, αυτά τα δεδομένα επιτρέπουν εύκολα επιθέσεις τύπου credential stuffing: αν κάποιος χρησιμοποιεί τον ίδιο κωδικό σε πολλές υπηρεσίες, ένας επιτιθέμενος μπορεί να δοκιμάσει τον συνδυασμό email–password σε πλατφόρμες με υψηλή αξία (τραπεζικές υπηρεσίες, email providers, social media).

Ένα άλλο πραγματικό ρίσκο είναι το SIM swapping: με ένα τηλέφωνο που ανήκει στο θύμα, ο επιτιθέμενος αιτείται μεταφορά του αριθμού σε νέα SIM στον πάροχο και λαμβάνει μηνύματα SMS επαλήθευσης που του επιτρέπουν να ανακτήσει λογαριασμούς. Στην Ελλάδα και διεθνώς υπήρξαν σοβαρές απώλειες χρημάτων και εμπιστευτικότητας από τέτοιες επιθέσεις, ειδικά όταν ο χρήστης δεν έχει ενεργοποιήσει επιπλέον προστατευτικά μέτρα.

Τι μπορούν να κάνουν οι χρήστες τώρα

Η άμεση αντίδραση είναι ζωτικής σημασίας. Ακολουθούν τεκμηριωμένα βήματα που μειώνουν σημαντικά το ρίσκο:

• Ενεργοποιήστε την επαλήθευση δύο βημάτων (2FA) σε Instagram και σε οποιεσδήποτε υπηρεσίες χρησιμοποιούν το ίδιο email/τηλέφωνο. Προτιμήστε εφαρμογές ελέγχου ταυτότητας ή hardware tokens αντί για SMS όπου είναι δυνατόν.
• Αλλάξτε κωδικούς σε υπηρεσίες όπου πιθανώς έχετε χρησιμοποιήσει τον ίδιο συνδυασμό email–password. Χρησιμοποιήστε μοναδικούς, ισχυρούς κωδικούς με password manager.
• Ελέγξτε αν το email σας εμφανίζεται σε βάσεις με παραβιασμένα δεδομένα, π.χ. μέσω Have I Been Pwned, και αντιδράστε ανάλογα.
• Επιθεωρήστε ενεργές συνδέσεις και δικαιώματα εφαρμογών στο Instagram και απομακρύνετε άγνωστες συνδέσεις.
• Συνεργαστείτε με τον πάροχο κινητής για την ενεργοποίηση προστασίας SIM (PIN, πάγωμα μεταφορών) και αναφέρετε απροσδόκητες αλλαγές.
• Αποφύγετε να κλικάρετε συνδέσμους σε ανεπιθύμητα emails ή μηνύματα και μην δίνετε ευαίσθητες πληροφορίες σε απαντήσεις.

Για οργανισμούς, τα δεδομένα αυτά μπορούν να χρησιμοποιηθούν για στοχευμένες επιθέσεις κατά εργαζομένων — επομένως συνιστάται έλεγχος εταιρικών λογαριασμών, εκπαίδευση για phishing και εφαρμογή πολιτικών zero-trust όπου χρειάζεται.

Ο ρόλος της Meta και οι ευθύνες των πλατφορμών

Ως τις 10 Ιανουαρίου 2026, η Meta δεν είχε εκδώσει επίσημη ανακοίνωση σχετικά με το περιστατικό, αφήνοντας πολλούς χρήστες και οργανισμούς σε αβεβαιότητα. Ανεξάρτητα από τον τρόπο συλλογής, οι πλατφόρμες φέρουν ευθύνη για την προστασία των δεδομένων που φιλοξενούν και για τη ρύθμιση πρόσβασης μέσω API. Η υποχρέωση αυτή περιλαμβάνει τεχνικά μέτρα (rate limits, captchas, anomaly detection), σχεδιασμό πολιτικής πρόσβασης και νομική συμμόρφωση με κανόνες όπως το GDPR στην Ευρώπη.

Η περίπτωση υπογραμμίζει ότι είναι ανεπαρκές να βασιζόμαστε μόνο στην τεχνική ασφάλεια· απαιτείται και πολιτική προστασίας δεδομένων με διαφάνεια, σαφείς κανόνες για τρίτα μέρη και ταχείς διαδικασίες ενημέρωσης θυμάτων. Επιπλέον, οι πλατφόρμες πρέπει να προσφέρουν εργαλεία ανάκτησης που δεν διευκολύνουν τους επιτιθέμενους, όπως μείωση της εξάρτησης από SMS για κρίσιμες ενέργειες.

Τι σημαίνει για τους χρήστες

Εκτός από το προφανές άμεσο ρίσκο της απώλειας πρόσβασης σε λογαριασμούς, αυτή η διαρροή συμβάλλει στη γενικότερη φθορά εμπιστοσύνης μεταξύ χρηστών και μεγάλων πλατφορμών. Όταν προσωπικά στοιχεία κυκλοφορούν σε αγορές του dark web, η πιθανότητα μακροχρόνιας εκμετάλλευσης αυξάνεται: στοχευμένες απάτες, υποκλοπές ταυτότητας και οικονομική εξαπάτηση μπορεί να προκύψουν μήνες ή και χρόνια μετά την αρχική συλλογή. Η προστασία συνεπώς δεν είναι μόνο τεχνική αλλά και συμπεριφορική: απαιτεί συνεχή επιμέλεια, τακτικούς ελέγχους και επένδυση σε εργαλεία ασφάλειας από τους ίδιους τους χρήστες.

Ελληνικό και ευρωπαϊκό πλαίσιο

Στην Ευρώπη, τα δεδομένα προσωπικού χαρακτήρα προστατεύονται αυστηρά από το GDPR, και μια διαρροή αυτού του μεγέθους μπορεί να επιφέρει ερευνητικές διαδικασίες και πιθανές κυρώσεις για εταιρείες που δεν έλαβαν επαρκή μέτρα. Επιπλέον, το νέο ρυθμιστικό πλαίσιο ψηφιακών υπηρεσιών (DSA) προβλέπει μεγαλύτερη λογοδοσία για πλατφόρμες που δεν εμποδίζουν κακόβουλες πρακτικές. Στο ελληνικό πλαίσιο, φορείς όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορούν να ενεργοποιηθούν για έλεγχο και επιβολή προστίμων. Ταυτόχρονα, επιχειρήσεις και δημόσιοι οργανισμοί οφείλουν να αυξήσουν την επιτήρηση για πιθανές επιθέσεις εναντίον προσωπικού τους.

Συμπέρασμα

Η διαρροή των 17,5 εκατομμυρίων εγγραφών προς πώληση υπόσχεται να έχει πολλαπλά στάδια επιπτώσεων: άμεσα takeover λογαριασμών, μακροπρόθεσμη χρήση για εξαπάτηση και ένα γενικότερο πλήγμα στην ασφάλεια και ιδιωτικότητα. Η προστασία απαιτεί και τεχνικά μέτρα από τις πλατφόρμες, αλλά και ενεργή στάση από τους χρήστες: 2FA, μοναδικοί κωδικοί, επαγρύπνηση για phishing και συνεργασία με παρόχους υπηρεσιών. Στον κόσμο του 2026, όπου τα δεδομένα είναι το νέο πεδίο μάχης, η πρόληψη και η ενημέρωση παραμένουν τα πιο αποτελεσματικά όπλα μας.