⭐ נקודות עיקריות
- דיווח חדש של חברת האבטחה Malwarebytes חושף דליפת ענק באינסטגרם שהובילה לחשיפת פרטיהם של כ-17.5 מיליון משתמשים ברחבי העולם.
- המאגר שפורסם בפורומים ב”רשת האפלה” כולל שמות משתמש, כתובות דואר אלקטרוני, מספרי טלפון ופרטים נוספים, שמקורם ככל הנראה בחולשת API משנת 2024.
- מטא טרם אישרה רשמית את קיום הפריצה, אך מומחי אבטחה מזהירים מפני גל של ניסיונות דיוג (Phishing) והשתלטות על חשבונות.
דיווח חדש ומדאיג חושף את אחת מפרצות האבטחה הגדולות שידעה אינסטגרם (Instagram) בשנים האחרונות.
על פי המידע, האקר המכנה את עצמו “Solonik” פרסם מאגר נתונים עצום הכולל פרטים אישיים של כ-17.5 מיליון משתמשים.
אם קיבלתם בימים האחרונים בקשה לאיפוס סיסמה מבלי שביקשתם זאת – אינכם לבד. המיילים הללו, שנשלחו למשתמשים רבים ברחבי העולם (וגם לנו בגאדג’טי), קשורים לדליפת מידע שאותרה על ידי חברת האבטחה Malwarebytes במהלך סריקה שגרתית ברשת האפלה (Dark Web).
שם, נמצאו קבצי נתונים מסודרים שהוצעו למכירה ולשימוש על ידי גורמים עוינים החל מה-7 בינואר, 2026.
פרטי הדליפה והיקף הפריצה
על פי הניתוח של חוקרי האבטחה, נראה כי מקור הדליפה הוא בחולשת אבטחה בממשק ה-API של אינסטגרם, אשר אפשרה גישה לנתונים עוד בשנת 2024.
הקבצים שנחשפו הופיעו בפורמטים טקסטואליים (TXT ו-JSON) והציגו מבנה נתונים מסודר המעיד על איסוף שיטתי.
היקף הנתונים מצביע על אירוע אבטחה משמעותי ולא על תקלה נקודתית. משתמשים רבים דיווחו לאחרונה על קבלת הודעות חשודות לאיפוס סיסמה, מה שעשוי להעיד על ניסיונות ראשונים לנצל את המידע שדלף.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
המידע שנחשף והסיכונים
הנתונים שנכללו במאגר כוללים מגוון רחב של פרטים מזהים שיכולים לשמש למתקפות סייבר ממוקדות.
בין המידע שנחשף ניתן למצוא שמות משתמש, שמות מלאים, כתובות דואר אלקטרוני, מספרי טלפון בינלאומיים, מזהי משתמש ייחודיים (User IDs) ואף חלקי כתובות פיזיות.
חשוב לציין כי הדיווח הנוכחי אינו מצביע על חשיפה של סיסמאות משתמשים. עם זאת, השילוב של כתובות מייל ומספרי טלפון מאפשר לתוקפים לבצע מתקפות הנדסה חברתית מתוחכמות, כגון שליחת הודעות דיוג (פישינג) המתחזות לאינסטגרם בניסיון לגנוב את פרטי הגישה של המשתמשים.
סכנה מרכזית נוספת היא ניצול מנגנון איפוס הסיסמה של הרשת החברתית.
תוקפים המחזיקים בפרטי הקשר של המשתמש עשויים ליזום בקשות איפוס סיסמה ולנסות לשכנע את הקורבן למסור את קוד האימות שקיבל, מה שיאפשר להם להשתלט על החשבון מרחוק.
המלצות אבטחה למשתמשים
תגובת מטא למשתמשים שנפגעו הגיעה לאחר פרסום הכתבה דרך ציוץ ברשת X, ולפיה התקלה שהובילה לבקשות איפוס סיסמה להגיע לתיבות המייל של משתמשי אינסטגרם תוקנה ולא נרשמה פריצה למערכות החברה.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
ולמרות זאת, הצעד החשוב ביותר בכל חשבון משתמש כיום, וזה כולל גם את אינסטגרם, הוא הפעלת אימות דו-שלבי (2FA), רצוי באמצעות אפליקציית אימות (כגון Google Authenticator) ולא באמצעות הודעות SMS, שנחשבות לפחות מאובטחות.
בנוסף, מומלץ להחליף את סיסמת הכניסה לאינסטגרם לסיסמה חזקה וייחודית שאינה משמשת באתרים אחרים.
יש לגלות עירנות מוגברת להודעות דוא”ל או SMS המבקשות לאמת פרטים או לאפס סיסמה, גם אם הן נראות רשמיות.
בכל מקרה של ספק, עדיף להיכנס לאפליקציה באופן ישיר ולא ללחוץ על קישורים שנשלחו בהודעות חיצוניות.
—
עדכון (11.1.2026, 19:00) – הכתבה עודכנה עם תגובת מטא\אינסטגרם.
