Sự cố này không bắt nguồn từ một cuộc tấn công trực diện vào máy chủ, mà rò rỉ qua "cánh cửa hậu" API – một lỗ hổng từ đầu năm 2024 nhưng hậu quả vẫn kéo dài đến tận hôm nay, đầu năm 2026.

Khi "thông tin công khai" không còn là tất cả

Đáng lo ngại nhất trong tệp dữ liệu này không phải là tên người dùng hay tiểu sử, mà là số điện thoại và địa chỉ thực. Tại sao một ứng dụng chia sẻ ảnh lại làm lộ địa chỉ nhà bạn? Câu trả lời nằm ở các tính năng dành cho tài khoản doanh nghiệp và nhà sáng tạo. Các hacker đã khai thác lỗ hổng trong quy trình đồng bộ hóa danh bạ và công cụ hỗ trợ thương mại của Instagram để quét (scrape) những dữ liệu vốn được ẩn đi.

Kết quả là một bộ hồ sơ định danh hoàn chỉnh. Khi kết hợp email, số điện thoại và địa chỉ thực, những kẻ lừa đảo không chỉ dừng lại ở việc gửi tin nhắn rác. Chúng có thể thực hiện các cuộc tấn công chiếm quyền SIM (SIM-swapping) hoặc tống tiền bằng cách đe dọa trực tiếp đến đời tư của người dùng.

Cảm giác bị "tấn công" ngay trong túi quần

Cảm giác hoang mang khi nhận hàng chục thông báo bảo mật lúc nửa đêm là có thật. Hacker đang sử dụng các công cụ tự động để dò mã hoặc cố gắng lừa bạn nhấn vào một đường link giả mạo trong cơn hoảng loạn. Meta – gã khổng lồ đứng sau Instagram – vẫn giữ một sự im lặng đáng sợ. Thay vì một thông báo chính thức và minh bạch về quy mô sự cố, người dùng chỉ nhận được những câu trả lời khuôn mẫu từ hệ thống hỗ trợ tự động. Sự chậm trễ này đang trực tiếp đẩy người dùng vào thế bị động.

Hành động ngay: Đừng để mình là nạn nhân tiếp theo

Thay vì chờ đợi một email xác nhận từ Meta, hãy chủ động rà soát lại lớp phòng thủ của mình bằng những công cụ chuyên sâu hơn:

• Truy cập "Have I Been Pwned": Đừng chỉ đoán. Hãy nhập email của bạn vào các nền tảng kiểm tra rò rỉ uy tín để biết chính xác thông tin nào của mình đã bị lộ.
• Chuyển sang 2FA bằng ứng dụng (App-based): Tuyệt đối không dùng xác thực qua SMS. Với việc số điện thoại bị lộ, hacker có thể đánh chặn tin nhắn SMS dễ dàng hơn bạn tưởng. Hãy dùng Google Authenticator hoặc Authy.
• Dọn dẹp "Trung tâm tài khoản": Vào phần Mật khẩu và bảo mật -> Nơi bạn đăng nhập. Hãy đăng xuất mọi thiết bị mà bạn không nhận diện được ngay lập tức.

Pro-tip: Cách nhận diện email "chính chủ" từ Instagram

Kẻ lừa đảo có thể làm giả giao diện email giống 99% Meta. Tuy nhiên, có một mẹo mà ít người để ý: Vào ứng dụng Instagram, chọn Cài đặt -> Bảo mật -> Email từ Instagram. Tại đây, ứng dụng sẽ liệt kê danh sách tất cả các email bảo mật thực sự mà Meta đã gửi cho bạn trong vòng 14 ngày qua. Nếu một email reset mật khẩu nằm trong inbox của bạn nhưng không có trong danh sách này, đó chắc chắn là lừa đảo.

Việc để lộ dữ liệu của 17,5 triệu người qua lỗ hổng API là một vết sẹo lớn về mặt kỹ thuật của Meta. Trong kỷ nguyên mà dữ liệu cá nhân là "dầu mỏ", sự hớ hênh trong mã nguồn không chỉ là lỗi kỹ thuật, đó là sự thiếu trách nhiệm với lòng tin của người dùng. Đã đến lúc chúng ta ngừng coi bảo mật mạng xã hội là việc của nhà phát triển, mà phải là kỹ năng sinh tồn của chính mình.