यादृच्छिक Instagram रीसेट ईमेल प्राप्त झाला? तुमच्यासाठी 17.5 दशलक्ष रेकॉर्ड लीक म्हणजे काय- द वीक

By Marathi On Jan 15, 2026

'इनसेप्शन' चित्रपटात, सर्वात मोठा धोका हा भौतिक जगाचा नसून अवचेतन स्तरांचा आहे जिथे रहस्ये साठवली जातात. Instagram साठी, दुःस्वप्न एक लीक आत एक गळती आहे. मेटा ने 2024 मध्ये पॅच केलेले API असुरक्षा म्हणून जे डिसमिस केले होते ते 2026 मध्ये पुन्हा दिसून आले, परिणामी 17.5 दशलक्ष रेकॉर्ड लीक झाले. हे फक्त एक साधे हॅक नाही; ही एक खोल संरचनात्मक असुरक्षा आहे. “कोणत्याही सिस्टीमशी तडजोड झाली नाही” असा कंपनीचा दावा असल्याने, लाखो वापरकर्ते त्यांचा डेटा प्रत्यक्षात कधीही सुरक्षित नसल्याची जाणीव करून देत आहेत.

जानेवारी 2026 च्या पहिल्या आठवड्यात या संकटाला पहिल्यांदा सार्वजनिक गती मिळाली, जेव्हा जगभरातील लाखो Instagram वापरकर्त्यांना विना-प्रॉम्प्ट केलेले, अधिकृत पासवर्ड रीसेट ईमेल प्राप्त होऊ लागले. 7 जानेवारी 2026 रोजी, “Solonik” नावाने कार्यरत असलेल्या हॅकरने कुख्यात फोरम BreachForums वर “INSTAGRAM.COM 17M GLOBAL USERS 2024 API लीक” नावाचा एक मोठा डेटासेट पोस्ट केला. पोस्टने अंदाजे 17.5 दशलक्ष वापरकर्त्यांच्या वैयक्तिक रेकॉर्डची ऑफर दिली.

सायबर सिक्युरिटी फर्म Malwarebytes, ज्याने प्रथम X द्वारे शोध ध्वजांकित केला, नियमित गडद वेब मॉनिटरिंग दरम्यान, डंपमध्ये पूर्ण नावे, वापरकर्तानावे, सत्यापित ईमेल पत्ते, आंतरराष्ट्रीय फोन नंबर आणि काही प्रकरणांमध्ये, आंशिक भौतिक पत्ते आणि भौगोलिक स्थान डेटा यासह अत्यंत संवेदनशील माहिती असल्याची पुष्टी केली.

मेटा, इंस्टाग्रामची मूळ कंपनी, “आमच्या सिस्टमचे कोणतेही उल्लंघन झाले नाही” असे सांगून त्याच्या अंतर्गत सिस्टमच्या कोणत्याही उल्लंघनाचा ठाम नकार जारी केला आहे. त्याऐवजी, त्यांनी एका विशिष्ट “तांत्रिक समस्या” ला पासवर्ड ईमेल रीसेट करण्याच्या लाटेचे श्रेय दिले ज्याने बाह्य पक्षाला स्वयंचलित सूचना ट्रिगर करण्यास अनुमती दिली. मेटाची अधिकृत भूमिका अशी आहे की त्यांच्या मूळ पायाभूत सुविधा सुरक्षित राहतील.

हे अजूनही का महत्त्वाचे आहे?

हे “भंग” किंवा “स्क्रॅप” आहे की नाही यावर तांत्रिक वादविवाद चालू असताना, 17.5 दशलक्ष प्रभावित वापरकर्त्यांसाठी वास्तविक-जगातील धोका तात्काळ आणि बहुआयामी आहे. पासवर्ड नसतानाही, लीक केलेला डेटासेट वेगळ्या, उच्च-प्रभाव हल्ल्यांसाठी रोडमॅप प्रदान करतो.

या गळतीचा प्राथमिक धोका म्हणजे खाते प्रवेश त्वरित गमावणे नाही, कारण पासवर्ड डंपमध्ये समाविष्ट केलेले नाहीत. त्याऐवजी, महत्त्व फिशिंगमध्ये आहे, जेथे आक्रमणकर्ते लीक झालेल्या ईमेल आणि वापरकर्तानावांचा वापर अत्यंत खात्रीशीर बनावट सूचना तयार करण्यासाठी करतात.

लीक झालेले फोन नंबर आणि नावे वापरून, हल्लेखोर मोबाईल वाहकांना नवीन डिव्हाइसवर वापरकर्त्याची सेवा “स्वॅप” करण्यासाठी फसवू शकतात. या सिम स्वॅपिंगमुळे बँकिंग आणि क्रिप्टोकरन्सी खाती काढून आर्थिक अपहरण होते. हॅकर्सना तुमचे खरे नाव आणि वापरकर्ता आयडी माहीत असल्यामुळे ते अधिकृत मेटा सपोर्टसारखे “स्पियर-फिशिंग” ईमेल पाठवू शकतात.

आणखी आक्रमक “विशिंग” आहे, जिथे स्कॅमर वापरकर्त्यांना थेट कॉल करतात, Instagram सुरक्षा एजंट म्हणून दाखवतात. ते विश्वास निर्माण करण्यासाठी लीक केलेला भौगोलिक स्थान डेटा वापरू शकतात, अखेरीस पीडिताला “सत्यापन कोड” परत वाचण्यास सांगू शकतात. प्रत्यक्षात, हा कोड दोन-घटक प्रमाणीकरण टोकन आहे जो आक्रमणकर्त्याने नुकताच ट्रिगर केला आहे, ज्यामुळे त्यांना खात्यावर त्वरित, संपूर्ण नियंत्रण मिळते.

तज्ञ काय म्हणतात

आयएसएसीए इंडियाचे राजदूत आणि व्हर्सॅटलिस्ट कन्सल्टिंग इंडियाचे संचालक आर.व्ही. रघु यांच्या मते, जुन्या डेटाचे पुनरुत्थान करणे ही केवळ तांत्रिक तळटीप नाही; आधुनिक सायबर गुन्हेगारांसाठी ही एक शस्त्राधारित मालमत्ता आहे.

इन्स्टाग्राम भाग हा ISACA तज्ञ “वापरकर्ता-प्रथम” डिझाइनमध्ये अयशस्वी झाल्याचा एक केस स्टडी म्हणून काम करतो. रघूने असा युक्तिवाद केला की डिजिटल साधनांमध्ये भौतिक साधनांच्या तुलनेत अपरिहार्यपणे हानीकारक हेतूंसाठी लागू होण्याची उच्च शक्यता असते, ज्यामुळे डिझाइनचे निर्णय गंभीर होतात. “विकसक आणि प्लॅटफॉर्मपासून सुरू होणारी जबाबदारी वितरीत केली गेली पाहिजे ज्यामुळे मोठ्या प्रमाणात स्क्रॅपिंग आणि तो 'ब्लास्ट त्रिज्या' कमी करण्यासाठी फेल-सेफ तयार करणे यासारख्या हानींचा वाजवी अंदाज लावला पाहिजे,” रघू म्हणतो.

तो पुढे सांगतो की प्लॅटफॉर्म आता फक्त “टाउन स्क्वेअर” किंवा निष्क्रिय होस्ट नाहीत; ते सामग्री सामायिकरण आणि सुधारणेचे “सक्रिय सक्षम करणारे” बनले आहेत. कारण प्लॅटफॉर्मला वापरकर्ता सामग्री सक्षम करण्यापासून व्यावसायिकरित्या फायदा होतो, तो सुचवतो की वापरकर्त्याच्या कृतींच्या परिणामासाठी त्यांना जबाबदार धरले पाहिजे, जसे की अपमानास्पद वागणूक किंवा मोठ्या प्रमाणात डेटा काढणे. तो शिफारस करतो की मॉडेल डेव्हलपर आणि प्लॅटफॉर्मने डेटा ट्रेंडमधील अचानक बदल ओळखण्यासाठी सक्रिय शोध यंत्रणा तयार करावी.

गोपनीयतेच्या अशा उल्लंघनास आव्हान देण्यासाठी कोणत्या चरणांची आवश्यकता आहे?

मेटा त्याच्या सिस्टम सुरक्षित असल्याचा आग्रह धरत असताना, फिशिंग आणि ओळख चोरीच्या दुय्यम लहरींपासून स्वतःचे संरक्षण करण्यासाठी खालील चरण आवश्यक आहेत.

टू-फॅक्टर ऑथेंटिकेशन (2FA) हे तुमचे सर्वात मजबूत संरक्षण आहे. सिम-स्वॅपिंग हल्ले टाळण्यासाठी, एखाद्याने Google Authenticator किंवा Microsoft Authenticator सारख्या ॲपवर स्विच केले पाहिजे. हे ॲप्स सेल्युलर नेटवर्कवर न पाठवता थेट तुमच्या डिव्हाइसवर वेळ-संवेदनशील कोड व्युत्पन्न करतात, अधिक मजबूत कवच प्रदान करतात जे तुमच्या फोन नंबरशी तडजोड केली तरीही प्रभावी राहते.

तुमचा इनबॉक्स तुम्ही विनंती न केलेल्या पासवर्ड-रीसेट लिंक्सने भरला असल्यास, त्यांना कधीही क्लिक करू नका असा सुवर्ण नियम आहे. तुम्हाला तुमच्या खात्याची सुरक्षितता सत्यापित करण्याची आवश्यकता वाटत असल्यास, ईमेलला पूर्णपणे बायपास करा आणि थेट Instagram ॲप उघडा. तेथून, तुमची पुनर्प्राप्ती माहिती आणि संपर्क तपशील अपरिवर्तित राहतील याची पुष्टी करण्यासाठी तुमच्या सुरक्षा सेटिंग्जवर नेव्हिगेट करा.

तुम्ही तुमचा पासवर्ड अलीकडे अपडेट केला नसल्यास, आता एक मजबूत क्रेडेन्शियल तयार करण्याची वेळ आली आहे. सर्वात महत्त्वाचे म्हणजे, हा पासवर्ड इन्स्टाग्रामसाठी अद्वितीय असल्याची खात्री करा.

तुमचे ईमेल खाते तुमच्या संपूर्ण डिजिटल जीवनाची मुख्य की आहे. तुमच्या ईमेलच्या सुरक्षा सेटिंग्जचे पुनरावलोकन करण्यासाठी पाच मिनिटे घ्या: 2FA सक्षम करा, तुमचा पुनर्प्राप्ती फोन नंबर अद्यतनित करा आणि तुमच्या इनबॉक्समध्ये कोणतीही अपरिचित उपकरणे सध्या लपलेली नाहीत याची खात्री करण्यासाठी अलीकडील लॉगिन क्रियाकलापांचे पुनरावलोकन करा.

याव्यतिरिक्त, इंस्टाग्रामच्या “तुम्ही कुठे लॉग इन आहात” मेनूद्वारे अनोळखी उपकरणांमधून मॅन्युअली लॉग आउट केल्याने सक्रिय अनधिकृत कनेक्शन त्वरित तोडले जातात. हे आक्रमणकर्त्यांना पुन्हा-प्रमाणित करण्यास भाग पाडते, ही प्रक्रिया जर तुम्ही आधीच तुमचे द्वि-घटक प्रमाणीकरण अद्यतनित केले असेल तर ते पूर्ण करू शकत नाहीत.

सरतेशेवटी, डिजिटल जग कोडने बनलेले नाही, तर एकल, साध्या सत्याने बनलेले आहे: तुमचा डेटा प्लॅटफॉर्मचा असू शकतो, परंतु तुमची ओळख तुमची आहे. त्यानुसार रक्षण करा.