Instagram a déclaré qu'il n'avait pas subi de violation de données, malgré le fait que certains utilisateurs aient reçu des demandes de réinitialisation de mot de passe qui ont suscité des inquiétudes. Cette déclaration fait suite à une publication sur Bluesky de la société de logiciels antivirus Malwarebytes, qui comprenait une capture d'écran d'un e-mail d'Instagram informant un utilisateur d'une demande de réinitialisation de mot de passe.

Malwarebytes a affirmé que des cybercriminels avaient volé des informations sensibles à partir de 17,5 millions de comptes Instagram, notamment des noms d'utilisateur, des adresses physiques, des numéros de téléphone et des adresses e-mail. L'entreprise a en outre allégué que ces données étaient vendues sur le dark web et pouvaient être exploitées par des cybercriminels.

En réponse, Instagram a publié sur X qu'il avait résolu un problème qui permettait à une partie externe de demander des e-mails de réinitialisation de mot de passe pour certains utilisateurs. L'entreprise n'a pas divulgué de détails sur la partie externe ni sur la nature spécifique du problème. La publication d'Instagram s'est terminée en conseillant aux utilisateurs d'ignorer les e-mails et en s'excusant pour toute confusion.

L'incident met en évidence la menace persistante du « credential stuffing », un type de cyberattaque où les attaquants utilisent des listes de noms d'utilisateur et de mots de passe obtenus lors de violations précédentes pour tenter d'accéder aux comptes d'utilisateurs sur d'autres plateformes. Bien qu'Instagram maintienne qu'aucune violation de données n'a eu lieu, la capacité d'une partie externe à déclencher des e-mails de réinitialisation de mot de passe soulève des questions sur les protocoles de sécurité de la plateforme et le potentiel pour des acteurs malveillants de cibler les utilisateurs.

Les mécanismes de réinitialisation de mot de passe sont un élément essentiel de la sécurité des comptes, conçus pour permettre aux utilisateurs de retrouver l'accès à leurs comptes s'ils oublient leurs mots de passe. Cependant, si ces mécanismes ne sont pas correctement sécurisés, ils peuvent être exploités par des attaquants pour obtenir un accès non autorisé aux comptes.

La réponse d'Instagram à l'incident a été critiquée par certains experts en sécurité pour son manque de transparence. Le fait que l'entreprise n'ait pas fourni de détails sur le problème ou sur la partie externe impliquée a alimenté la spéculation et l'incertitude parmi les utilisateurs.

L'entreprise n'a pas encore annoncé de mesures spécifiques qu'elle prend pour empêcher que des incidents similaires ne se produisent à l'avenir. Il est conseillé aux utilisateurs d'activer l'authentification à deux facteurs sur leurs comptes Instagram et de se méfier de tout e-mail ou message suspect.