Non è un allarme fasullo. È la peggiore violazione della sicurezza per il social network degli ultimi anni. Nei giorni scorsi, milioni di utenti in tutto il mondo, Italia compresa, hanno ricevuto email sospette per reimpostare la password di Instagram. Molte di quelle comunicazioni, controintuitivamente, sono autentiche. Sono il segnale d’allerta di un sistema sotto attacco. L’onda d’urto di un data breach mastodontico: un database con le informazioni sensibili di circa 17,5 milioni di profili è stato rubato e messo in vendita nella parte più oscura della rete. Oltre a nomi utente, email e numeri di telefono, i criminali hanno trafugato un dato particolarmente pericoloso: gli indirizzi fisici di residenza degli utenti.
La gravità del furto supera di gran lunga quella di precedenti incidenti. La presenza degli indirizzi reali trasforma una minaccia digitale in un pericolo concreto per l’incolumità delle persone. I dati, secondo le analisi degli esperti di Malwarebytes Labs citati nella prima segnalazione, sarebbero stati sottratti sfruttando una vulnerabilità nei sistemi che gestiscono i profili Business o le funzioni di Shopping della piattaforma. Questa esposizione apre la porta a rischi gravissimi come il doxxing, la pratica di rendere pubblici dettagli privati per invitare molestie o persecuzioni nel mondo reale.
L’allerta è massima per gli account ad alta visibilità. “Gli account con un alto numero di follower – spiega il collettivo italiano di sicurezza RansomNews – potrebbero essere tra i bersagli privilegiati”. La motivazione è economica: impossessarsi del profilo di un influencer, di uno sportivo, di un politico o di un’azienda consente agli hacker di chiedere un riscatto in denaro, in cambio della restituzione dell’account o per non divulgare contenuti privati.
Paradossalmente, questi profili sono spesso meno protetti di quelli degli utenti comuni. La gestione affidata a team di social media manager e agenzie rende scomodo l’utilizzo dell’autenticazione a due fattori, considerato uno standard di sicurezza irrinunciabile. “Condividere un codice che cambia ogni 30 secondi tra persone che lavorano da luoghi diversi è laborioso. Per comodità, questa protezione fondamentale viene spesso disattivata”, confermano gli esperti, rendendo i profili più preziosi anche i più vulnerabili.
In queste ore, la confusione regna sovrana nelle caselle di posta degli utenti. È cruciale fare chiarezza: molte delle email con oggetto “Resetta la tua password” sono effettivamente inviate da Instagram. Gli hacker, in possesso di milioni di nomi utente, stanno utilizzando software automatici (bot) per tentativi di accesso a ripetizione, gli attacchi “forza bruta”. I sistemi di Meta, la holding di Instagram, rilevano queste attività sospette e inviano automaticamente avvisi legittimi per proteggere gli account. È proprio in questo caos istituzionale, però, che agiscono gli sciacalli.
Criminali informatici estranei al furto iniziale stanno approfittando del panico per inviare milioni di email di phishing che imitano alla perfezione quelle ufficiali. L’obiettivo è sfruttare la paura per indurre l’utente a cliccare su un link fasullo e a consegnare spontaneamente le credenziali. Lo scenario più insidioso è reale: nella stessa casella di posta possono arrivare a pochi minuti di distanza una mail vera dal sistema di difesa di Meta e una falsa da un truffatore. La regola d’oro, quindi, è una sola: non cliccare mai su link contenuti in queste email.
L’elenco dei rischi non finisce con l’indirizzo di casa. La presenza dei numeri di telefono nel database rubato espone a un’altra minaccia sofisticata: il Sim-Swapping. In possesso dei dati personali, un criminale può contattare l’operatore telefonico, spacciarsi per il legittimo proprietario e chiedere il trasferimento della linea su una nuova scheda SIM. Se la frode riesce, riceverà lui tutti gli SMS, inclusi i codici di sicurezza monouso utilizzati per accedere a Instagram o ai conti bancari. La difesa deve essere immediata e metodica.
Primo: non fidarsi delle mail. Aprire l’app ufficiale di Instagram, andare in Impostazioni e cercare la voce “Email da Instagram”. Quel registro contiene solo le comunicazioni autentiche inviate dalla piattaforma. Secondo: cambiare subito la password, scegliendone una complessa e unica. Terzo, e più importante: attivare l’autenticazione a due fattori non tramite SMS, ma utilizzando un’app dedicata come Google Authenticator o Duo Mobile. Questo passaggio rende inefficace il furto del numero di telefono e costituisce la barriera più solida contro la maggior parte degli attacchi in corso. In un mondo dove i dati valgono più della moneta, la prudenza non è più un’opzione. È l’unico salvacondotto.