Instagram’da büyük skandal: Bu bildirimi aldıysanız dikkat

Güvenlik firması Malwarebytes, Instagram’da milyonlarca kullanıcıyı etkileyen kapsamlı bir veri ihlali tespit edildiğini açıkladı. Şirketin paylaştığı bilgilere göre, yaklaşık 17,5 milyon hesaba ait veriler sızdırıldı ve bu veriler hacker forumlarında açık şekilde dolaşıma sokuldu. Instagram’ın çatı şirketi Meta ise söz konusu sızıntıyı şu ana kadar resmen doğrulamadı. Açığa çıkan bilgiler arasında kullanıcıların telefon numaraları başta olmak üzere çeşitli iletişim detayları yer alıyor.

Malwarebytes’in kullanıcılarına gönderdiği uyarı e-postasında, bu veri ihlalinin şirketin dark web izleme çalışmaları sırasında ortaya çıkarıldığı belirtildi. İncelemelere göre sızıntı; kullanıcı adları, ad-soyad bilgileri, e-posta adresleri, telefon numaraları, kısmen fiziksel adresler ve diğer iletişim verilerini kapsıyor.

Halihazırda 2 milyardan fazla aktif kullanıcısı bulunan Instagram, dünya genelindeki internet kullanıcılarının yaklaşık yüzde 37’sine hitap ediyor. Malwarebytes, ele geçirilen bu bilgilerin özellikle Instagram’ın şifre sıfırlama sistemini istismar etmek amacıyla kullanılabileceği konusunda kullanıcıları uyardı.

Şirketin değerlendirmesine göre çalınan veriler, 2024 yılında yaşandığı düşünülen bir Instagram API açığından kaynaklanmış olabilir. İletişim bilgileri ele geçirilen kullanıcılar, şifrelerini yenilemelerini veya hesap doğrulaması yapmalarını isteyen, ilk bakışta gerçek gibi görünen e-posta ve mesajlar alabilir. Malwarebytes, bazı kullanıcıların Instagram’dan şifre sıfırlama bildirimleri aldığını; bu bildirimlerin normal olabileceği gibi devam eden kötüye kullanım faaliyetlerinin bir parçası da olabileceğini vurguladı.

Öte yandan “Solonik” takma adını kullanan bir grup, 7 Ocak 2026’da BreachForums üzerinden 17 milyondan fazla kaydı içeren veri setini ücretsiz olarak paylaştı. Paylaşımda, instagram.com’u hedef alan ve dünya genelindeki kullanıcıları etkilediği öne sürülen ham veriler yer aldı. Örnek kayıtların; kullanıcı adları, e-posta adresleri, uluslararası telefon numaraları ve kullanıcı kimliklerini içermesi, Malwarebytes’in tespitleriyle örtüşüyor.

Meta cephesinden ise söz konusu veri ihlaliyle ilgili henüz resmi bir doğrulama yapılmış değil.