1750 万 Instagram 用户信息泄露！家庭住址等敏感数据流入黑市

HackerNews 编译，转载请注明出处：

Malwarebytes于 2026 年 1 月 9 日在推特发文称：网络犯罪分子窃取了 1750 万 Instagram 账号的敏感信息，具体包含用户名、住址、电话号码、电子邮箱地址等多项内容。

自 2026 年 1 月 10 日起，已有百万用户收到密码重置邮件，这一情况引发用户困惑，同时也加剧了人们对全球性网络攻击的担忧。安全专家提醒，这是一起严重的隐私泄露事件，存在切实的现实风险，遭泄露的数据可能已在暗网流通。

研究人员发现，一个包含近 1800 万 Instagram 用户信息的敏感数据库正在某网络犯罪论坛上售卖，该数据库被称作 “人肉搜索工具包”。与以往的数据爬取事件不同，此次泄露的数据中包含与 Instagram 用户身份标识相关联的家庭地址。

被盗数据的源头很可能并非仅来自于Instagram用户个人主页。攻击者或许将Instagram用户身份标识与外部数据库信息进行整合，这些外部数据来源涵盖营销名单、数据中间商、电商平台以及泄露的客户记录等，通过这种方式实现用户名与真实姓名、家庭地址的匹配关联。

将线上身份与线下物理地址绑定后，这一行为带来的威胁远超垃圾邮件骚扰或账号盗用。它可能滋生跟踪、“特警敲门” 恶作剧式攻击、敲诈勒索以及身份盗用等行为，将一场数字隐私泄露事件转化为对用户现实人身安全的潜在威胁。

网络安全专业资讯网站The Cybersec Guru报道称：“这批数据并非处于闲置状态。有消息显示，这个包含 1750 万条用户记录的数据库，部分内容正在非法交易市场拍卖。巨蜥，这些数据会按地区和粉丝数量分批次出售，网红博主以及高关注度的商业账号成为主要攻击目标。”

Instagram 用户需立即采取应对措施，并假定自身信息已存在泄露风险。研究人员给出以下建议：不要点击收到的密码重置邮件链接，仅通过官方应用重置密码；借助 Instagram 官方邮件日志核验邮件真伪，谨防钓鱼诈骗；开启基于应用的双重认证功能，尽量避免使用短信验证方式；最后，检查并移除第三方应用的授权权限，这些权限可能是导致此次数据泄露的原因之一。

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文