Massale golf van verdachte wachtwoord-e-mails zet miljoenen Instagram-gebruikers op scherp. Hoewel Meta beweert dat er geen sprake is van een hack, circuleren persoonsgegevens van naar schatting 17 miljoen accounts op het dark web. Experts adviseren tweestapsverificatie, terwijl onduidelijkheid blijft over de ware omvang en oorsprong van het lek.
De afgelopen dagen zijn talloze Instagram-gebruikers opgeschrikt door ongevraagde e-mails over wachtwoordwijzigingen. Wat aanvankelijk leek op een geïsoleerd incident, blijkt mogelijk de voorbode van een grootschalige dataleak. Beveiligingsbedrijf MalwareBytes luidde vorige week de alarmbel op X (voorheen Twitter): cybercriminelen zouden beschikken over gevoelige accountgegevens van maar liefst 17 miljoen Instagram-gebruikers.
Wat staat er precies op straat?
De gelekte dataset bevat volgens bronnen binnen de beveiligingssector een gevarieerde mix van persoonsgegevens. In totaal zou het gaan om ruim 16,5 miljoen gebruikersnamen, 6,2 miljoen e-mailadressen, 3,5 miljoen telefoonnummers, 12,4 miljoen volledige namen en 1,3 miljoen fysieke adressen. Cruciaal detail: niet elk account in de database is even volledig. Sommige vermeldingen bevatten enkel een gebruikersnaam, terwijl andere profielen vrijwel alle persoonsgegevens prijsgeven.
Die variatie in volledigheid roept vragen op over de herkomst van de data. Is dit werkelijk één consistent lek, of eerder een patchwork van verschillende datalekken die door criminelen zijn samengevoegd tot één lucratieve database?
Meta ontkent, gebruikers melden verdachte activiteit
Instagram-moederbedrijf Meta reageerde snel met een officiële verklaring die weinig ruimte voor interpretatie lijkt te laten: “We hebben een probleem rechtgezet dat toeliet dat een externe partij e-mails aanvroeg om wachtwoorden te resetten voor bepaalde Instagram-gebruikers,” aldus de verklaring. Het bedrijf benadrukt dat er geen inbreuk op de eigen systemen heeft plaatsgevonden en dat alle accounts veilig blijven.
Toch wringt die geruststelling met de praktijk. Op forums zoals Reddit regent het de laatste dagen meldingen van gebruikers die geconfronteerd worden met wachtwoordresetverzoeken die ze zelf nooit hebben aangevraagd. Een klassiek signaal dat kwaadwillenden actief proberen accounts over te nemen met behulp van gestolen gegevens.
Die discrepantie tussen Meta’s officiële lezing en de ervaringen van gebruikers voedt de twijfel. Als er geen lek was, waar komen die 17 miljoen records dan vandaan?
Herkomst blijft duister: oud lek of nieuwe inbreuk?
De verwarring wordt groter doordat verschillende partijen verschillende verklaringen geven over de oorsprong van de data. De verkoper van de database claimt dat de informatie afkomstig is van een API-lek uit 2024. Onafhankelijke beveiligingsonderzoekers daarentegen wijzen naar een bekend incident uit 2022, waarbij via ‘scraping’ – het geautomatiseerd uitlezen van publiek toegankelijke profielen via kwetsbaarheden in de API – grote hoeveelheden data werden buitgemaakt.
Wat deze theorieën gemeen hebben: Meta heeft geen van beide lekken ooit officieel bevestigd. Het enige erkende incident dateert uit 2017, toen door een softwarefout zo’n 6 miljoen accounts werden gecompromitteerd – aanzienlijk minder dan de nu circulerende cijfers.
Die stilte vanuit Meta voedt speculatie. Mogelijk gaat het inderdaad om een compilatie van oudere datalekken, waaronder mogelijk ook de nooit bevestigde incidenten uit 2022 en 2024. Dat zou verklaren waarom sommige accounts wel en andere niet in de database voorkomen, en waarom de gegevens per account zo sterk in volledigheid verschillen.
Wat kunnen gebruikers doen?
Beveiligingsexperts wijzen erop dat wachtwoorden wijzigen in dit geval weinig zin heeft, aangezien die volgens de beschikbare informatie niet tot de gelekte gegevens behoren. Wel cruciaal: het onmiddellijk activeren van tweestapsverificatie (ook wel tweefactorauthenticatie of 2FA genoemd). Deze extra beveiligingslaag zorgt ervoor dat criminelen, zelfs mét gebruikersnaam en wachtwoord, geen toegang krijgen tot je account zonder een tweede verificatiestap via je telefoon.
Daarnaast is waakzaamheid geboden voor zogenaamde ‘spear phishing’-aanvallen. Met de gelekte combinatie van namen, e-mailadressen en andere persoonsgegevens kunnen criminelen uiterst geloofwaardige nepberichten opstellen die specifiek op individuele slachtoffers zijn gericht. Die berichten kunnen bijvoorbeeld verwijzen naar je Instagram-gebruik, je fysieke locatie of andere persoonlijke details om geloofwaardigheid te wekken.
Transparantie onder druk
Het incident illustreert opnieuw de spanningen rond transparantie bij datalekken. Meta’s categorie ontkenning – er was geen inbreuk op onze systemen – laat technisch gezien ruimte voor scenario’s waarbij data via andere wegen, zoals API-misbruik of scraping, is verkregen. Voor gebruikers maakt dat onderscheid echter weinig uit: hun gegevens circuleren hoe dan ook op het dark web.
Of het nu gaat om 17 miljoen recente slachtoffers of een opgepoetste verzameling van oudere lekken, de boodschap blijft helder: Instagram-gebruikers doen er verstandig aan hun beveiliging aan te scherpen. En ondertussen blijft de vraag hangen: hoeveel weet Meta werkelijk, en wanneer krijgen gebruikers het volledige verhaal te horen?
