În ianuarie 2026, numeroși utilizatori au raportat că primesc e-mailuri repetate de resetare a parolei Instagram, deși nu au solicitat această acțiune. Situația a alimentat speculații despre o posibilă scurgere de date și a adus reacții publice atât din zona companiilor de securitate, cât și din partea Instagram/Meta.
Ce a reclamat Malwarebytes și de ce a crescut îngrijorarea
Potrivit relatărilor preluate de presa tech, Malwarebytes a indicat existența unor date asociate conturilor Instagram (inclusiv informații considerate sensibile) care ar fi apărut la vânzare în medii infracționale online, ceea ce ar fi putut crește riscul de phishing și tentativă de preluare a conturilor. În aceeași linie, publicații au asociat fenomenul cu un posibil incident legat de expunerea unei interfețe (API) menționată în contextul anului 2024.
Important: faptul că primești e-mailuri de resetare nu dovedește, de la sine, o compromitere a contului. În multe cazuri, atacatorii pot declanșa în masă solicitări de resetare (pentru a speria utilizatorul sau pentru a-l împinge către un link de phishing), fără să aibă acces efectiv la parolă.
Ce spune Instagram/Meta: „nu a fost o breșă”
În comunicări citate de publicații, Instagram a transmis că a remediat o problemă care permitea unei părți externe să solicite e-mailuri de resetare pentru anumite persoane și că nu a existat o breșă a sistemelor sale, conturile rămânând „securizate”. Cu alte cuvinte: fenomenul a fost tratat ca abuz al mecanismului de resetare (volum de solicitări), nu ca acces neautorizat la infrastructură sau baze de date.
Cum interpretezi corect riscul
Sunt două riscuri distincte, iar utilizatorii tind să le confunde:
1) Abuz de resetare (spam de e-mailuri)
Cineva încearcă să-ți „inunde” inboxul cu resetări. Este enervant, dar nu înseamnă automat că ți-a fost spart contul.
2) Tentative de phishing și „social engineering”
E-mailurile pot fi folosite ca pretext: „ai cerut resetare, apasă aici”, iar linkul duce către o pagină falsă care îți fură parola. Aici este riscul principal pentru majoritatea utilizatorilor.
Ce ai de făcut (pași practici, recomandați)
Ignoră cererile pe care nu le-ai inițiat
Dacă nu tu ai cerut resetarea, nu confirma nimic și nu urma linkuri din e-mail. Recomandarea publică, în forma citată de presă, a fost că aceste e-mailuri pot fi ignorate.
Verifică accesul în cont din aplicație, nu din e-mail
Intră în setările contului și verifică sesiunile/dispozitivele conectate. Dacă vezi dispozitive necunoscute, deconectează-le și schimbă parola imediat. (În mod uzual, această opțiune există în zona de „Accounts Center”/„Centrul de conturi” Meta, așa cum recomandă publicațiile care au acoperit subiectul.)
Activează autentificarea în doi pași (2FA)
Dacă nu folosești 2FA, activeaz-o. Preferabil prin aplicație de autentificare (sau cheie de securitate), apoi prin SMS ca fallback, unde e disponibil.
Schimbă parola și elimină parolele reutilizate
Schimbă parola Instagram cu una unică, lungă (minim 14–16 caractere) și nu o refolosi pe alte servicii. Dacă ai reutilizat parola în trecut, schimb-o și în acele conturi.
Blochează riscul de preluare a e-mailului
Un cont Instagram este adesea „atât de sigur cât este e-mailul atașat”. Activează 2FA pe e-mail, verifică regulile de redirecționare/filtrare și recuperările de cont.
Fii atent la semnele clasice de phishing
Nu introduce parola pe pagini deschise din linkuri primite pe e-mail/mesaje. Deschide aplicația sau tastează manual adresa site-ului, apoi navighează către setări.
Ce înseamnă asta pentru utilizatorii Premium/Business
Dacă folosești contul pentru activități profesionale (brand, pagină de companie, creator), riscul real este întreruperea accesului (account takeover), nu doar spam-ul. Prioritatea este 2FA + verificarea dispozitivelor conectate + parole unice + securizarea e-mailului.
