Se negli ultimi giorni avete ricevuto un’email da Instagram che vi invitava a reimpostare la vostra password, non siete i soli. Da circa 48 ore, milioni di utenti in tutto il mondo stanno segnalando la ricezione di messaggi di sicurezza non richiesti, scatenando un vero e proprio panico digitale. La situazione, che ha rapidamente scalato le classifiche dei trend su X (ex Twitter) e TikTok, ha assunto i contorni di un giallo informatico: da una parte i ricercatori di sicurezza che parlano di una massiccia violazione, dall’altra Meta che nega categoricamente ogni intrusione nei propri sistemi.

Il caso è esploso nel weekend appena trascorso, quando le caselle di posta di milioni di iscritti sono state inondate da comunicazioni ufficiali del social network. Il timore diffuso è che dietro questa ondata di notifiche si celi una fuga di dati di proporzioni colossali. Secondo le prime ricostruzioni, un database contenente informazioni sensibili sarebbe finito nelle mani di criminali informatici, ma la versione ufficiale dell’azienda di Mark Zuckerberg getta acqua sul fuoco, invitando alla calma e sconsigliando azioni avventate.

L’allarme degli esperti: 17,5 milioni di account a rischio?

L’origine dell’allarme va ricercata in un report diffuso da Malwarebytes, nota azienda di sicurezza informatica. Secondo gli analisti, la raffica di email di reset non sarebbe un semplice errore tecnico, ma la conseguenza diretta di un tentativo di sfruttare un database trafugato. Si parla di circa 17,5 milioni di account Instagram i cui dati sarebbero stati messi in vendita su un noto forum del dark web (BreachForums) da un attore malevolo noto con lo pseudonimo di "Solonik".

Il pacchetto di dati incriminato, secondo le fonti di sicurezza, non conterrebbe le password in chiaro, ma includerebbe dettagli altrettanto preziosi per il furto d’identità: nomi utente, indirizzi email, numeri di telefono e, in alcuni casi, persino indirizzi fisici parziali. L’ipotesi è che questi dati provengano da una vulnerabilità delle API di Instagram risalente al 2024, ora sfruttata per innescare massivamente la procedura di recupero password nel tentativo di confondere gli utenti o eseguire attacchi di social engineering.

La smentita di Meta: "Nessuna violazione"

Di fronte al montare delle polemiche e alla preoccupazione di influencer e utenti comuni, Meta ha rotto il silenzio con una nota ufficiale diramata nelle ultime ore. Il colosso dei social media ha ammesso l’esistenza di un "problema tecnico", ma ha respinto con fermezza l’ipotesi dell’attacco hacker ai propri server.

"Abbiamo risolto un problema che permetteva a terze parti di richiedere email di reimpostazione della password per alcune persone", ha dichiarato un portavoce dell’azienda. "Non c’è stata alcuna violazione dei nostri sistemi e i vostri account Instagram sono al sicuro. Potete ignorare quelle email". Secondo la ricostruzione di Menlo Park, dunque, il bug risiedeva nella facilità con cui un soggetto esterno poteva "triggerare" l’invio della mail di reset conoscendo solo il nome utente o l’email della vittima, senza però avere reale accesso al profilo.

Meta suggerisce inoltre che i dati apparsi online potrebbero essere frutto di scraping (raccolta automatizzata di dati pubblici) o il riciclo di vecchi database già noti (come il leak di Doxagram del 2017), ripubblicati ora per generare caos e profitto illecito.

Cosa fare (e cosa non fare) per proteggersi

Nonostante le rassicurazioni, la prudenza è d’obbligo. Il rischio maggiore in queste ore non è tanto l’accesso diretto all’account da parte degli hacker, quanto il phishing. Nel caos delle comunicazioni legittime di Instagram, i truffatori potrebbero inserire email false contenenti link malevoli. Ecco i passaggi consigliati dagli esperti per mettere al sicuro il proprio profilo:

• Non cliccare sui link: Se ricevete un’email di reset password che non avete richiesto, ignoratela, come suggerito da Meta. Non cliccate su nessun pulsante all’interno del messaggio.
• Verifica la fonte: Le comunicazioni ufficiali di Instagram provengono sempre dal dominio @mail.instagram.com. È possibile verificare la lista delle email inviate ufficialmente dall’app andando in Impostazioni > Sicurezza > Email da Instagram.
• Attiva l’autenticazione a due fattori (2FA): È la barriera più efficace. Preferite l’uso di app di autenticazione (come Google Authenticator o Duo Mobile) rispetto agli SMS, che sono più vulnerabili al SIM swapping.
• Controlla gli accessi: Verificate nella sezione "Attività di accesso" se ci sono dispositivi o luoghi sconosciuti connessi al vostro account e, nel dubbio, disconnetteteli.

Il ruolo dei social e la psicosi virale

La vicenda ha evidenziato ancora una volta la velocità con cui le notizie, vere o presunte, viaggiano sulle piattaforme concorrenti. Su TikTok, l’hashtag relativo al presunto hack di Instagram è diventato viral in poche ore, con migliaia di video di utenti che mostravano le decine di email ricevute. Questo fenomeno di amplificazione ha costretto Facebook e Instagram a rispondere più velocemente del solito, dimostrando come la percezione della sicurezza sia ormai un asset fondamentale per la reputazione delle piattaforme.

Conclusioni

Mentre il mistero tecnico sembra risolto con la correzione del bug da parte di Meta, resta aperta la questione della privacy dei dati. Che si tratti di un nuovo furto o del riciclo di vecchie informazioni, la disponibilità di 17,5 milioni di contatti sul dark web è un fatto che non può essere ignorato. La raccomandazione per tutti gli utenti è di mantenere alta la guardia: in un ecosistema digitale sempre più interconnesso, la sicurezza del proprio account dipende spesso dalla capacità di distinguere un vero allarme da un tentativo di manipolazione.

Domande frequenti