Instagram’dan gelen bir şifre sıfırlama e-postası, oysa siz böyle bir talepte bulunmadınız. İlk bakışta sistem hatası gibi görünse de durum çok daha ciddi. Siber güvenlik araştırmacıları, Ocak 2026’da tam 17,5 milyon Instagram hesabına ait verilerin Darknet’te dolaştığını ortaya çıkardı. Bu veriler arasında isimler, adresler ve telefon numaraları da yer alıyor. Meta ise “Ne hack ne de veri sızıntısı var” açıklamasıyla olayı reddetti. Ancak kullanıcılar açısından bu ayrımın hiçbir önemi yok: Kişisel veriler çoktan internete saçıldı.
Darknet’te 17,5 milyon hesap verisi
Malwarebytes siber güvenlik ekibi, rutin izleme sırasında hacker forumu BreachForums’ta geniş bir veri setine ulaştı. En çarpıcı detay ise bu bilgilerin 2024’ten kalma olması. Yani kullanıcı verileri iki yıldır suç ağlarında dolaşıyor olabilir. Bu da Instagram’ın ilk skandalı değil. Platform, 2022 yılında kişisel verileri koruyamadığı gerekçesiyle para cezasına çarptırılmıştı.
Meta “scraping” diyor ama kullanıcı için fark etmiyor
Meta, olayı “scraping” yani veri kazıma olarak nitelendiriyor. Bu yöntemle siber suçlular, “Kişileri rehberden bul” gibi herkese açık özellikleri kullanarak milyonlarca telefon numarasını sisteme yüklüyor ve hangi profillerin bu numaralara ait olduğunu öğreniyor. Bu, “Birinin evinizin kapılarını tek tek denemesi” gibi; teknik olarak kilidi kırmadan, ama aynı sonuca ulaşarak yasa dışı biçimde içeri girmek anlamına geliyor.
Saldırının arkasında klasik bir hack değil, Instagram’ın yetersiz “rate limiting” sistemi bulunuyor. Bu eksiklik, saldırganların toplu veri çekmesine imkan tanıdı. T
Aynı hata yeniden: 2022’deki ceza unutulmadı
Instagram, 2022’de İrlanda Veri Koruma Komisyonu tarafından 405 milyon Euro para cezasına çarptırılmıştı. Gerekçe yine aynıydı: e-posta adresleri ve telefon numaralarının korunmaması. Şimdi benzer bilgilerin bir kez daha sızmış olması, Meta’nın yapısal güvenlik sorunlarını çözmediğini gösteriyor. Aynı türden “scraping” vakası, 2019’da 533 milyon Facebook hesabını da etkilemişti.
Uzmanlara göre mesele yeni değil. Asıl sorun, Instagram’ın henüz yeterli koruma sistemine sahip olmaması. Son dönemdeki şifre sıfırlama e-posta bombardımanı da bu sızıntıyla bağlantılı. Saldırganlar, ele geçirilen kullanıcı adlarını kullanarak defalarca “şifremi unuttum” tuşuna bastı. Sistem de, kim olursa olsun her tuşa basana e-posta gönderen bir otomata dönüştü. Öte yandan, son aylarda milyarlarca e-posta adresi ve şifre de internette dolaşıma girdi.