Rò rỉ 17,5 triệu tài khoản Instagram: Người dùng cần tự bảo vệ

Dữ liệu cá nhân bị phơi bày qua lỗ hổng API, Meta im lặng khiến người dùng hoang mang và dễ bị tấn công.

HM Journal

5 tháng trước4 min

...

Điểm chính

17,5 triệu tài khoản Instagram bị rò rỉ dữ liệu nhạy cảm (số điện thoại, địa chỉ) qua lỗ hổng API.
Meta chưa có phản ứng chính thức, khiến người dùng dễ bị tấn công lừa đảo, chiếm quyền SIM.
Người dùng cần chủ động kiểm tra rò rỉ trên 'Have I Been Pwned', chuyển sang 2FA bằng ứng dụng và dọn dẹp các thiết bị đã đăng nhập.
Học cách nhận diện email chính chủ từ Instagram qua tính năng 'Email từ Instagram' trong ứng dụng để tránh lừa đảo reset mật khẩu.
Bảo mật mạng xã hội là kỹ năng sinh tồn thiết yếu, không chỉ trách nhiệm của nhà phát triển.

Key Takeaways

17,5 triệu. Đó là số lượng hồ sơ cá nhân của người dùng Instagram vừa bị phơi bày trên các diễn đàn ngầm (dark web). Không còn là những lời đồn đoán, công ty an ninh mạng Malwarebytes đã xác nhận một kho dữ liệu khổng lồ đang được các nhóm hacker chuyền tay nhau, biến hàng triệu người dùng thành mục tiêu tấn công trực diện.

Sự cố này không bắt nguồn từ một cuộc tấn công trực diện vào máy chủ, mà rò rỉ qua "cánh cửa hậu" API – một lỗ hổng từ đầu năm 2024 nhưng hậu quả vẫn kéo dài đến tận hôm nay, đầu năm 2026.

Khi "thông tin công khai" không còn là tất cả

Đáng lo ngại nhất trong tệp dữ liệu này không phải là tên người dùng hay tiểu sử, mà là số điện thoại và địa chỉ thực. Tại sao một ứng dụng chia sẻ ảnh lại làm lộ địa chỉ nhà bạn? Câu trả lời nằm ở các tính năng dành cho tài khoản doanh nghiệp và nhà sáng tạo. Các hacker đã khai thác lỗ hổng trong quy trình đồng bộ hóa danh bạ và công cụ hỗ trợ thương mại của Instagram để quét (scrape) những dữ liệu vốn được ẩn đi.

Kết quả là một bộ hồ sơ định danh hoàn chỉnh. Khi kết hợp email, số điện thoại và địa chỉ thực, những kẻ lừa đảo không chỉ dừng lại ở việc gửi tin nhắn rác. Chúng có thể thực hiện các cuộc tấn công chiếm quyền SIM (SIM-swapping) hoặc tống tiền bằng cách đe dọa trực tiếp đến đời tư của người dùng.

Cảm giác bị "tấn công" ngay trong túi quần

Nếu những ngày qua, điện thoại của bạn liên tục rung lên bởi hàng loạt email thông báo: "Chúng tôi nhận được yêu cầu đặt lại mật khẩu của bạn", bạn không hề đơn độc. Đây chính là dấu hiệu cho thấy dữ liệu của bạn đã nằm trong danh sách bị khai thác.

Cảm giác hoang mang khi nhận hàng chục thông báo bảo mật lúc nửa đêm là có thật. Hacker đang sử dụng các công cụ tự động để dò mã hoặc cố gắng lừa bạn nhấn vào một đường link giả mạo trong cơn hoảng loạn. Meta – gã khổng lồ đứng sau Instagram – vẫn giữ một sự im lặng đáng sợ. Thay vì một thông báo chính thức và minh bạch về quy mô sự cố, người dùng chỉ nhận được những câu trả lời khuôn mẫu từ hệ thống hỗ trợ tự động. Sự chậm trễ này đang trực tiếp đẩy người dùng vào thế bị động.

Hành động ngay: Đừng để mình là nạn nhân tiếp theo

Thay vì chờ đợi một email xác nhận từ Meta, hãy chủ động rà soát lại lớp phòng thủ của mình bằng những công cụ chuyên sâu hơn:

Truy cập "Have I Been Pwned": Đừng chỉ đoán. Hãy nhập email của bạn vào các nền tảng kiểm tra rò rỉ uy tín để biết chính xác thông tin nào của mình đã bị lộ.
Chuyển sang 2FA bằng ứng dụng (App-based): Tuyệt đối không dùng xác thực qua SMS. Với việc số điện thoại bị lộ, hacker có thể đánh chặn tin nhắn SMS dễ dàng hơn bạn tưởng. Hãy dùng Google Authenticator hoặc Authy.
Dọn dẹp "Trung tâm tài khoản": Vào phần Mật khẩu và bảo mật -> Nơi bạn đăng nhập. Hãy đăng xuất mọi thiết bị mà bạn không nhận diện được ngay lập tức.

Pro-tip: Cách nhận diện email "chính chủ" từ Instagram

Kẻ lừa đảo có thể làm giả giao diện email giống 99% Meta. Tuy nhiên, có một mẹo mà ít người để ý: Vào ứng dụng Instagram, chọn Cài đặt -> Bảo mật -> Email từ Instagram. Tại đây, ứng dụng sẽ liệt kê danh sách tất cả các email bảo mật thực sự mà Meta đã gửi cho bạn trong vòng 14 ngày qua. Nếu một email reset mật khẩu nằm trong inbox của bạn nhưng không có trong danh sách này, đó chắc chắn là lừa đảo.

Việc để lộ dữ liệu của 17,5 triệu người qua lỗ hổng API là một vết sẹo lớn về mặt kỹ thuật của Meta. Trong kỷ nguyên mà dữ liệu cá nhân là "dầu mỏ", sự hớ hênh trong mã nguồn không chỉ là lỗi kỹ thuật, đó là sự thiếu trách nhiệm với lòng tin của người dùng. Đã đến lúc chúng ta ngừng coi bảo mật mạng xã hội là việc của nhà phát triển, mà phải là kỹ năng sinh tồn của chính mình.