Instagram a déclaré n'avoir subi aucune violation de données, malgré le fait que certains utilisateurs aient reçu des demandes de réinitialisation de mot de passe qui ont suscité des inquiétudes. Cette déclaration fait suite à une publication sur Bluesky de la société de logiciels antivirus Malwarebytes, qui comprenait une capture d'écran d'un e-mail d'Instagram informant un utilisateur d'une demande de réinitialisation de mot de passe.
Malwarebytes a affirmé dans son message de vendredi que des cybercriminels avaient volé des informations sensibles à partir de 17,5 millions de comptes Instagram, notamment des noms d'utilisateur, des adresses physiques, des numéros de téléphone et des adresses e-mail. La société a en outre allégué que ces données étaient en vente sur le dark web et pouvaient être exploitées par des cybercriminels.
Instagram a répondu sur X, anciennement Twitter, déclarant avoir résolu un problème qui permettait à une partie externe de demander des e-mails de réinitialisation de mot de passe pour certains utilisateurs. La société n'a pas divulgué de détails sur la partie externe ni sur la nature spécifique du problème. Le message d'Instagram s'est terminé par des excuses pour toute confusion et a conseillé aux utilisateurs d'ignorer les e-mails suspects.
La divergence entre l'affirmation de Malwarebytes concernant un vol de données à grande échelle et l'affirmation d'Instagram selon laquelle il n'y a pas eu de violation de données met en évidence les difficultés d'évaluation et de signalement des incidents de cybersécurité. Les demandes de réinitialisation de mot de passe, bien que souvent légitimes, peuvent également être une tactique utilisée par des acteurs malveillants pour obtenir un accès non autorisé à des comptes, une technique connue sous le nom de "credential stuffing" (bourrage d'identifiants). Dans les attaques de "credential stuffing", les cybercriminels utilisent des listes de noms d'utilisateur et de mots de passe obtenus lors de précédentes violations de données pour tenter de se connecter à des comptes sur d'autres plateformes.
Le manque de transparence d'Instagram concernant la vulnérabilité spécifique et la partie externe impliquée a suscité des critiques de la part des experts en sécurité. Sans plus d'informations, il est difficile d'évaluer l'impact potentiel sur les utilisateurs et l'efficacité de la réponse d'Instagram. La décision de l'entreprise d'annoncer la correction sur X, plutôt que sur sa propre plateforme, a également soulevé des questions.
L'incident souligne l'importance d'une bonne hygiène des mots de passe et de l'activation de l'authentification à deux facteurs, qui ajoute une couche de sécurité supplémentaire en exigeant un code de vérification provenant de l'appareil d'un utilisateur en plus de son mot de passe. Les utilisateurs qui ont reçu des demandes de réinitialisation de mot de passe suspectes doivent modifier immédiatement leurs mots de passe et surveiller leurs comptes pour détecter tout signe d'activité non autorisée.
Instagram n'a pas encore fourni d'autres mises à jour sur la situation. La gestion de cet incident par l'entreprise sera probablement examinée de près par les chercheurs en sécurité et les utilisateurs, car elle soulève des inquiétudes quant à la sécurité des données et à la transparence.
Discussion
Join the conversation
Be the first to comment