17,5 Milyon Instagram Kullanıcısı Tehlikede mi? “API Sızıntısı” İddiası!
Son günlerde siber güvenlik gündemine 17,5 milyon Instagram kullanıcısının kişisel verilerinin internete sızdığı iddiaları damgasını vurdu. Veri setinin karanlık ağ forumlarında yayılmakta olduğu ve kullanıcı adları, e-posta adresleri, telefon numaraları ve bazı yer bilgilerini içerdiği söyleniyor.
Dark web ilanı: “17M Global Users — 2024 API Leak”
İddialara göre, veri seti “Solonik” takma adıyla bir kullanıcı tarafından, bir hacker forumunda “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” başlığı altında paylaşıldı. İlan, verilerin JSON ve TXT formatlarında milyonlarca kayıt içerdiğini öne sürerken, bu bilgilerin ise 2024’ün sonunda gerçekleşen bir “API sızıntısı” veya otomatik sorgulama (scraping) ile toplandığı ifade ediliyor.
Bu tür veri sızıntıları söz konusu olunca en önemli soru şu: Instagram’ın sistemlerine doğrudan bir giriş mi yapıldı, yoksa genel erişime açık arayüzlerden/veri kazıma işlemi mi oldu? Bazı haberlere göre bu olay daha çok veri kazıma (scraping) olarak nitelenirken, ölçeğin hız sınırlaması (rate limit) veya gizlilik kontrollerinde zayıf noktalar barındırdığı ihtimali üzerinde duruluyor.
Hangi detaylar sızmış olabilir?
Paylaşımlarda yer alan örnekler, siber suçluların hedefler üzerinde “profil” oluşturmasına olanak tanıyan alanlar sunduğu belirtiliyor. İddialarda öne çıkan veri başlıkları şunlar:
Tam isimler / Kullanıcı adları Doğrulanmış e-posta adresleri Telefon numaraları Kullanıcı ID bilgileri Ülke ve kısmi konum bilgileri.
Bu bilgiler, tek başına “şifre” olmasa da, kimlik avı (phishing) ve sosyal mühendislik saldırılarında potansiyel bir araç olarak değerlendirilebiliyor.
“Şifre yok” ama risk sürüyor: Neden tehlikeli?
Sızıntıda parolaların bulunmadığı belirtilse de uzmanlar, e-posta + telefon kombinasyonunun saldırganlar için büyük bir değer taşıdığına dikkat çekiyor. Özellikle:
SIM kart değiştirme (SIM swap) girişimleri, Instagram destek ekibi görünerek 2FA kodu talep etme, “Hesabınız kapanacak” gibi panik yaratma senaryolarıyla kandırma, Aynı e-posta adresinin kullanıldığı diğer hesaplara zincir saldırıları gibi taktikler uygulanabilir.
Meta’nın açıklaması (Tarih net: 11 Ocak 2026)
Bazı kaynaklar 10 Ocak 2026 itibarıyla Meta’dan resmi bir açıklamanın gelmediğini belirtirken, bugün ( 11 Ocak 2026 ) yayımlanan haberde Meta’nın iddiaları reddettiği ve kullanıcılara istememiş oldukları şifre sıfırlama e-postalarını dikkate almamalarını önerdiği ifade ediliyor. Bu çelişki, olayın yeniliği ve açıklamaların farklı kanallarda yayımlanmasından kaynaklanmış olabilir.
Kullanıcılar derhal ne yapmalı?
Şüpheli bir e-posta/SMS aldıysanız veya riskten korunmak istiyorsanız:
Kısa mesaj yerine kimlik doğrulama uygulamasıyla (Authenticator) 2FA/MFA açın. İstemediğiniz halde gelen şifre sıfırlama bağlantılarına tıklamayın. Instagram parolanızı güçlü ve benzersiz hale getirin; ayrıca kritik olan e-posta hesabınızın parolasını da güçlendirin. Operatör hesabınız için mümkünse SIM değişikliği/hat taşıma PIN’i gibi ek güvenlik önlemleri alın. Hesabınız gariplik varsa, Instagram’ın hesap kurtarma yollarını kullanın (resmi yönlendirmeler üzerinden).
Bu olayın gerçek etkisi, sızan verilerin doğruluğu ve güncelliği açığa çıktıkça daha fazla anlaşılacak. Ancak iletişim bilgilerinin bile saldırganlar için oldukça değerli olabileceği düşünüldüğünde, önlemler gecikmemelidir.
