Güvenlik şirketi Malwarebytes, Instagram platformunda milyonlarca kullanıcıyı etkileyen büyük bir veri ihlali olduğunu duyurdu. Şirketin sağladığı bilgilere göre, yaklaşık 17,5 milyon kullanıcının verileri sızdırılarak hacker forumlarında yayımlandı. Instagram’ın ana şirketi Meta ise bu sızıntıyı henüz resmi olarak onaylamadı. Açığa çıkan bilgiler arasında kullanıcıların telefon numaraları ve diğer iletişim bilgileri bulunmaktadır.
Malwarebytes’in kullanıcılarına gönderdiği bilgilendirme e-postasında, bu veri ihlalinin şirketin karanlık web izleme faaliyetleri sırasında ortaya çıktığı ifade edildi. Yapılan incelemelere göre, sızıntı; kullanıcı isimleri, tam adlar, e-posta adresleri, telefon numaraları, kısmi fiziksel adresler ve diğer iletişim bilgilerini kapsıyor.
Instagram, dünya genelinde 2 milyardan fazla aktif kullanıcıya sahip olup, internet kullanıcılarının yaklaşık yüzde 37'sine hizmet vermektedir. Malwarebytes, ele geçirilen bilgilerin özellikle Instagram’ın şifre sıfırlama sistemini kötüye kullanmak amacıyla kullanılabileceği konusunda kullanıcıları bilgilendirdi.
Şirketin analizine göre, çalınan verilerin 2024 yılında meydana geldiği düşünülen bir Instagram API açığından kaynaklanmış olabileceği öne sürülüyor. İletişim bilgileri sızdırılan kullanıcılar, şifrelerini yenilemeleri veya hesap doğrulaması yapmaları için gerçek gibi görünen e-posta ve mesajlar alabilir. Malwarebytes, bazı kullanıcıların Instagram’dan şifre sıfırlama bildirimleri aldığını; bu bildirimlerin normal olabileceği gibi, devam eden kötüye kullanım faaliyetlerinin bir parçası olabileceğini belirtti.
Diğer yandan, “Solonik” takma adıyla bilinen bir grup, 7 Ocak 2026 tarihinde BreachForums üzerinde 17 milyondan fazla kaydı içeren veri setini ücretsiz olarak paylaştı. Bu paylaşımda, instagram.com'u hedef alan ve dünya genelindeki kullanıcıları etkilediği iddia edilen ham veriler yer aldı. Örnek kayıtların; kullanıcı adları, e-posta adresleri, uluslararası telefon numaraları ve kullanıcı kimliklerini içermesi, Malwarebytes’in tespitleriyle örtüşmektedir.
Meta tarafından ise bu veri ihlali ile ilgili henüz resmi bir açıklama yapılmamıştır.