يوضح Meta "عاصفة إعادة تعيين كلمة المرور" في Instagram: بسبب ثغرة أمنية في النظام، ولم يحدث أي تسرب للبيانات

وفقًا لتقارير يوم 11 يناير، ذكرت وسائل الإعلام الأجنبية Dailymail أن الملايين من مستخدمي Instagram حول العالم تلقوا عددًا كبيرًا بشكل غير عادي من رسائل البريد الإلكتروني لإعادة تعيين كلمة المرور، مما تسبب في قلق ومخاوف أمنية واسعة النطاق. أشارت العديد من وكالات الأمن السيبراني ووسائل الإعلام الأجنبية إلى أنه يشتبه في أنه تم الحصول على معلومات شخصية بدون كلمة مرور (بما في ذلك أسماء المستخدمين والأسماء الحقيقية وعناوين البريد الإلكتروني وأرقام الهواتف والعناوين الجزئية ومعلومات الاتصال الأخرى) لحوالي 17.5 مليون حساب بشكل غير قانوني من خلال واجهة Instagram API في عام 2024، وتم نشرها علنًا في منتدى BreachForums بواسطة جهة تهديد تحمل الاسم الرمزي "Solonnik" في 8 يناير 2026. تحتوي مجموعة البيانات على أكثر من 17 مليون سجل وهي متاحة للجميع. تحميل مجاني.

وبعد الكشف عن الحادث، أصدرت شركة Malwarebytes الأمنية تحذيرًا مبكرًا على منصات التواصل الاجتماعي في 10 يناير، مؤكدة أنه على الرغم من أن مجموعة المعلومات لم تحتوي على كلمات مرور نصية واضحة أو بيانات اعتماد مشفرة، إلا أنه يمكن بسهولة استخدام بيانات الهوية الشخصية شديدة التنظيم في أنشطة إجرامية لاحقة مثل التصيد الاحتيالي وهجمات الهندسة الاجتماعية وانتحال الهوية والاحتيال المالي. خلال نفس الفترة، أبلغ عدد كبير من المستخدمين عن تلقي رسائل بريد إلكتروني موحدة لإعادة التعيين من Instagram في فترة زمنية قصيرة. احتوى المحتوى على زر أزرق مذهل "إعادة تعيين كلمة المرور" ومطالبة قياسية: "إذا تجاهلت هذا البريد الإلكتروني، فلن يتم تغيير كلمة المرور الخاصة بك؛ وإذا لم يتم تقديم أي طلب، فيرجى إبلاغنا بذلك".

استجابةً للمخاوف العامة، أصدرت ميتا بيانًا رسميًا في 11 يناير ردًا على ذلك. وأوضحت الشركة: "لم يحدث أي اختراق للبيانات، ولم يتم اختراق أنظمة Instagram، وتبقى حسابات المستخدمين آمنة".

وفقًا لمتحدث باسم Meta، كان سبب تشغيل البريد الإلكتروني واسع النطاق هذا هو وجود ثغرة تقنية ثابتة سمحت للغرباء بتجاوز عملية التحقق العادية وبدء طلبات إعادة تعيين كلمة المرور المزيفة على دفعات لبعض مستخدمي Instagram، وبالتالي تشغيل النظام لإرسال رسائل البريد الإلكتروني لإعادة التعيين تلقائيًا.

وشدد ميتا على أنه تم إصلاح الثغرات الأمنية ذات الصلة في أسرع وقت ممكن بعد اكتشافها، وأكد أنه لا يوجد دليل على أن المشكلة قد تم استخدامها للاستيلاء على الحساب الضار أو سلوكيات الاختراق الجانبي الأخرى. اعتذرت شركة Meta عن الارتباك العام الناجم عن هذا الإنذار الكاذب وأكدت التزامها بمواصلة الاستثمار في ترقيات أمان البنية التحتية والتحكم في الوصول إلى واجهة برمجة التطبيقات (API).