> 漏洩した情報には、Instagramのユーザー名、住所、電話番号、メールアドレスなどが含まれていた。

10年ぶりにInstagramを使ってないんだけど、なんで住所が漏れたデータに含まれてるのか気になる。ユーザーはこれをFacecrookに提供しなきゃいけないの？それとも自発的に？

2日前に「パスワードを忘れた」でアカウントにアクセスしようとされたんだ。こんなの初めてで、関係あるのかな？

私も同じだよ。今までこんなのなかった。

そうそう、数日前に私の隠れた非アクティブアカウントでも起こった。13年間使ってて、こんなの初めて。

わお、私も全く同じ問題があったし、2つのアカウントで！

記事の最初の行はこれをほのめかしてるね。「最近Instagramからたくさんのパスワードリセットリクエストを受け取ったなら、あなただけじゃない。」

このニュースでいくつかの疑問が解決したよ。使ってないInstagramのバーナーアカウントがあるんだけど、変なリンクもクリックしたことないし、怪しいところにもログインしたことないから、フィッシングのせいとは思えない。もし私の情報が漏れたなら、Instagram側からだと思う。面白いのはタイミングのパターン。2023年の初めに「パスワードをリセットしてください」ってメールが来始めて、それが波のように続いた。どうやらクレデンシャルが再販されて、いろんな人が同じリストを使ってたみたい。メールもいろんな言語だったし、リクエストを出してた人たちに合わせてたんだろうね。数日前にもまたリセットの試みがあった。最新の購入者におめでとう：あなたはただのゴミを買っただけだよ。そのリストにあった価値は、公開されるずっと前に搾り取られてた。

>最新の購入者、おめでとう: あなたは純粋なゴミを買った。あのリストにあった価値は、公に出るずっと前に搾り取られたよ。誰も特定のアカウントを買ってるわけじゃなくて、まとめて買ってるんだ。その規模では、アカウントの一部が偽アカウントやバーナーアカウント、ボットであることは、買い手が期待していることに組み込まれているんだよ。むしろ、大きな問題はボットアカウントであって、ランダムなプライバシー重視の人たちのバーナーアカウントじゃない。

Instagramのパスワードリセットはメールアドレスから始まるよ。 >「もし私の情報が漏れたなら、それは私の側じゃなくてInstagramの側から来た可能性が高いよ。登録するのにバーナー用のメールアカウントを使った？」他に何も使ってないアカウント？

1月9日に投稿されたソース: https://news.ycombinator.com/item?id=46571968 1月11日に投稿されたInstagramの返信: 「一部の人に対して外部の第三者がパスワードリセットメールをリクエストできる問題を修正しました。私たちのシステムに侵害はなく、あなたのInstagramアカウントは安全です。そのメールは無視して大丈夫です — 混乱を招いてしまい申し訳ありません」 https://xcancel.com/instagram/status/2010202301886238822?s=2...

IGからのパスワードリセットメールは月に1回は必ず来るよ。何も修正されてないと思う。笑

>1月9日に投稿されたソース: https://news.ycombinator.com/item?id=46571968 うん、そのソースはひどいね。どうやってその結論に至ったのか、例えば「誰かがbreachforumsで売ってるって言ってる」とか「Instagramの内部告発者が報告した」とか、少なくとも何かしらの説明を期待するよね。もし前者なら、Instagram自体が悪くない可能性もある。例えば、フィッシングやクレデンシャルスタッフィングで手に入れたとか。

昨日、パスワードリセットリクエストのメールが来たんだけど、何が修正されたのかはわからないな。

何か見落としてる？彼らが共有したソースはパスワードリセットメールのスクリーンショットで、アカウントのメールアドレスを持ってれば誰でもトリガーできるやつだよね。

Instagram用にマスクされたメールアドレスを持ってて、ここ5日間で2回パスワードリセットのリクエストが来たんだ。まあ、これはただの体験談だけどね。* https://support.1password.com/fastmail/

メールアドレスなんて必要ないよ。アカウント名があればパスワードリクエストを始められるから。

具体的に何が漏れたのか、どうやって漏れたのかについて、信頼できる実際のソースを指摘できる人いる？Instagramはもっと多くのユーザーがいるから、17.5Mだけが「漏れた」ってのはすごく変だよ。正直、これは大げさに感じるし、またデータがスクレイピングされたとかそんな感じだと思う。元のMalwarebytesのツイートは本当に一般的すぎる。

多分、Instagram経由でログインしたプラグインかアプリの一種だと思うけど、どんな統合があるのかはよくわからないな。地域による理由もあるのかな？

ちょっと気になるのは、ハッキングされてFB/IG/TikTokのアカウントを失って、それを取り戻そうと戦ってる人たちの話をよく聞くこと。詳細は聞かないけど、パスワードを使い回してるか、推測されやすいパスワードを使ってるんだろうなって思う。参考までに、10文字以下のものは今の時代、推測されやすいと見なされるべきだよ。パスワードマネージャーは必須だと長いこと思ってる。各サイトには20文字以上のランダムに生成されたパスワードを使う。ハッシュが漏れても気にしない。壊されることはないから。長年1Passwordを使ってる。最初はLastPassだったけど、1Passwordの方が使いやすい。面倒なのは、サイトが作る特別な文字を使わなきゃいけないとか、パスワードの長さに関する異なる、重複しない要件があること、そして最悪なのは強制的なパスワードのローテーション。一般的に、非技術系の友達や家族にパスワードマネージャーを使わせようとはしないけど、まだちょっと使いにくいからね。パスキーはちょっと良くなったかな？でも、普及してるわけじゃないし、今後もそうなるとは思えない。とにかく、Metaからのこの種の漏洩にはちょっと驚いてる。物理的な住所をメールアドレスに結びつける情報が漏れるなんて？それは大規模な侵害で、何千人ものエンジニアを雇っている会社からは普通は期待しないことだよ。言っておくけど、IGはMeta内で独自のドメインとして運営されていて、私の知る限り、Python/Djangoで完全に別のコードベースを使っている。Facebook本体はほぼHackで、弱いエンドポイントやPII漏洩を検出するための優れたツールやシステムがあるから、漏れたエンドポイント（またはこの情報がどう漏れたかは記事で詳細を見なかったけど）ってのは本当に起こらないんだ。これはMetaのエンジニアリング内で長い間摩擦のポイントだった。書き直す価値がないと言うのは弁護できるけど、IGは会社の他の部分が「無料」で得るものに常に追いつこうとしてる。これが変わるのに何十億ドルの和解が必要なんだろう？そして、はい、物理的な住所が漏れることは、会社に10億ドル以上の損失をもたらすと思う。人が死ぬこともあるかもしれない。これがどれほど深刻なことか。

ちょっと調べてみたけど、漏洩の話には疑問を感じてる。Instagramのパスワードリセットの流れを確認したら、メールアドレス、電話番号、ユーザー名を使ってリセットをリクエストできるみたい。[1] ユーザー名は公開情報だから、パスワードリセットのメールをトリガーするのは比較的簡単なんだよね。大規模にやるにはIPローテーションや基本的な自動化が必要だけど、大量のリセットメールを生成して混乱を招くのは特に難しくない。攻撃者の視点から見ると、これでアカウントや機密データにアクセスできるわけじゃない。主にユーザーが予期しないリセットメールを受け取ってパニックになったり、パスワードを変更したりすることが目的だと思う。それは意味のある漏洩というより、迷惑行為や悪意に近いね。確定的な証拠はないけど、この行動からすると、報告されているリセットメールの波は大規模なデータ漏洩なしで説明できるかもしれない。[1] https://www.instagram.com/accounts/password/reset/ (スクリーンショット: https://imgur.com/a/4x5HPLx)

もし誰かのメールボックスが侵害されていたら、そのリセットメールを使ってInstagramアカウントを盗むことができるよね。だから、Instagram自体の脆弱性というより、他の侵害が利用されている可能性もある。

私のInstagramのユーザー名は〇〇で、週に1回くらい「Instagramにログインするのに問題があるみたい」っていうパスワードリセットのオファーが来るよ。

> 攻撃者の視点から見ると、これでアカウントや機密データにアクセスできるわけじゃないと思うけど、公開されているデータを何らかの漏洩として分類しようとする「セキュリティ」業界の動きがあるかもしれない。セキュリティ会社にとっては、そういう「漏洩」を見つけて宣伝に利用したり、無知な経営者を脅かして自社のソリューションやコンサルティングサービスを買わせるのが簡単な勝利になるからだろうね。Twitterでも似たような「漏洩」があったけど、結局はユーザー自身が公開プロフィールに載せた公開情報がスクレイピングされたってことだった。実際、アカウントが登録されているかどうかを開示するのが大きな漏洩だって言ってくる人もいたけど、その事実を開示しないように登録フォームを変更することは拒否してた（そうしないと、登録プロセスをメールリンクの後ろに移動させて、ユーザーに確認メールを待たせる必要があって、コンバージョン率が下がっちゃうから）。その「何か」は実行されたけど、もちろん悪者たちはすぐにサインアップフォームに移った。でも、私の知る限りでは、今は安全だよ™。

疑ってる？漏れた情報が何かもはっきりしてないじゃん？全然漏れた感じがしないよね。

もし本当なら、これは大事件だね。メタデータの漏洩なんて、一般的な意見とは裏腹にほとんど聞いたことがないから。

「Instagramに戻る手助けをしよう」ってメールが週に何通も来るんだけど、もう何ヶ月も続いてる。誰かが悪いことしようとしてるんだろうけど、実際何が起こってるのか全然わからない。すごく不思議だよ。

今、誰かがAmazonアカウントを使ったキャンペーンをやってるみたい。Instagramのパスワードリセットのプロセスは知らないけど、似たようなことが起きてるかもしれない。Amazonはパスワードをリセットするための6桁のコードを送ってくるんだ。そのコードは5分間有効で、新しいのが生成される。レート制限がどれくらいかはわからないけど、たとえその5分間に5回試せるとしても、正しく当てる確率は20万分の1だよ。攻撃者が何百万ものアカウントでこれを同時にやってると仮定したら、運良くいくつかのアカウントを盗める可能性があるってことだよね。それが心配で、パスワードリセットリクエストが来るのを防ぐためにアカウントから電話番号を削除した。各ユーザーの絶対的なリスクは低いかもしれないけど、全体的にはセキュリティに関してはひどいシステムだと思う。