Instagram na udaru sumnjivih zahteva za promenu lozinke, Meta tvrdi da nema razloga za brigu

Ako ste se ovog vikenda probudili i zatekli inboks pretrpan desetinama mejlova od Instagrama sa naslovom “Reset your password”, niste jedini. Globalni talas sumnjivih zahteva za promenu Instagram lozinke pogodio je milione korisnika, izazivajući strah od masovnog hakerskog napada na jednu od najvećih društvenih mreža na svetu.

Incident, koji je kulminirao tokom protekla dva dana (10. i 11. januara 2026.), naterao je kompaniju Meta da hitno reaguje, pokušavajući da ugasi požar panike pre nego što se pretvori u egzodus korisnika.

Šta se zapravo dešava?

Korisnici su prijavljivali da dobijaju legitimne mejlove od Instagrama (sa zvaničnih domena), u kojima se navodi da je neko zatražio resetovanje njihove lozinke. Problem je u tome što sami korisnici to nisu inicirali.

Iako su prvi izveštaji bezbednosne kompanije Malwarebytes sugerisali mračniji scenario da je reč o posledici curenja baze podataka sa 17,5 miliona naloga (uključujući korisnička imena, brojeve telefona i fizičke adrese) koja se pojavila na “dark web-u”, Instagram oštro demantuje da su njihovi sistemi probijeni.

Zvaničan odgovor: “Greška, a ne napad”

U zvaničnom saopštenju objavljenom na platformi X, Instagram tvrdi da je uzrok problema “spoljna strana” koja je zloupotrebila funkciju za oporavak naloga.

“Popravili smo problem koji je omogućio spoljnoj strani da zatraži imejlove za resetovanje lozinke za neke ljude. Nije bilo proboja u naše sisteme i vaši Instagram nalozi su bezbedni. Možete ignorisati te mejlove,  izvinjavamo se zbog zabune,” stoji u kratkom saopštenju kompanije.

Tehnička pozadina: Zloupotreba API-ja?

Stručnjaci za sajber bezbednost, međutim, nisu potpuno ubeđeni u benignost situacije. Činjenica da su napadači mogli masovno da targetiraju milione specifičnih korisničkih imena sugeriše da su verovatno koristili automatizovane skripte koje su “bombardovale” Instagramov API (programski interfejs) zahtevima.

Ovakva taktika se često koristi u dve svrhe, zastrašivanje i konfuzija (Smokescreening) gde napadači zatrpavaju žrtvu nebitnim obaveštenjima kako bi sakrili stvarna upozorenja o upadu na nalog ili bankovnim transakcijama i fišing (Phishing) kadakorisnici u panici često klikću na sve što im stigne, što napadači koriste slanjem lažnih mejlova koji izgledaju kao pravi, a koji vode na maliciozne sajtove.

Savet za korisnike: Ne dirajte dugme

Najvažniji savet u ovom trenutku je: ne klikćite na linkove u tim imejlovima. Čak i ako dolaze sa zvanične adrese, najbolje je da ih ignorišete ako niste sami zatražili promenu.

Za potpunu sigurnost, stručnjaci preporučuju uključivanje dvofaktorske autentifikacije (2FA) putem aplikacije (ne SMS-a, koji je podložan presretanju), kao i proveru aktivnih sesija u “Accounts Center” podešavanjima na Instagramu, kako biste bili sigurni da niko drugi nije ulogovan na vaš nalog.

Dok se prašina ne slegne, ovo služi kao još jedan podsetnik da je naša digitalna bezbednost često samo jedan klik daleko od katastrofe, ili u ovom slučaju, jedna loša skripta daleko od vikenda punog nervoze, prenosi Engadget.