Instagram 否認遭駭：1,700 萬筆用戶資料實為三年前舊資料重發

2026 年 1 月初，一則關於 Instagram 遭駭、1,700 萬筆用戶資料外洩的消息在資安圈引發關注。然而經獨立調查證實，這批資料並非來自新的駭侵事件，而是 2022 年透過資料抓取（scraping）方式蒐集的舊資料，經重新包裝後於暗網論壇發布。Instagram 母公司 Meta 已正式否認系統遭到入侵，但同時坦承曾存在密碼重設機制漏洞。

事件始末：從暗網貼文到媒體誤報

1 月 7 日，暗網論壇 BreachForums 用戶「Solonik」發布一篇標題為「INSTAGRAM.COM 17M GLOBAL USERS – 2024 API LEAK」的貼文，聲稱握有 1,700 萬筆 Instagram 用戶資料，內容包含用戶名稱、電子郵件、電話號碼、用戶 ID 及部分位置資訊。

兩天後，資安業者 Malwarebytes 在社群平台 X 發布警告，稱「網路犯罪者竊取了 1,750 萬個 Instagram 帳號的敏感資訊」，暗示此為近期發生的資料外洩事件。這則貼文迅速引發用戶恐慌，多家媒體跟進報導。

調查結果：三年前的舊資料重新包裝

外媒報導，經比對分析此次發布的資料筆數為 17,017,213 筆，與 2023 年 6 月由用戶「vanz」在同一論壇發布的資料完全一致。不僅數量相同，資料格式、欄位結構及內容也完全吻合。

進一步追溯顯示，這批資料最初是在 2022 年透過抓取公開資訊的方式蒐集，並非透過系統入侵或 API 漏洞取得。將其標註為「2024 年 API 外洩」是刻意的誤導手法，目的在於讓陳舊資料看起來具有新聞價值，藉此吸引關注。

官方回應：否認遭駭但坦承漏洞

事件發酵期間，部分用戶收到來自 Instagram 官方網域的密碼重設郵件。由於這批外洩資料並不包含密碼，這些郵件一度被懷疑是釣魚攻擊，但經驗證確為 Instagram 官方發送。

1 月 11 日，Instagram 在 X 平台發布聲明回應：「我們已修復一個允許外部人士為部分用戶觸發密碼重設郵件的問題。我們的系統並未遭到入侵，您的 Instagram 帳號是安全的。您可以忽略那些郵件，對於造成的困惑我們深感抱歉。」

然而，官方並未進一步說明「外部人士」的身分，也未解釋對方如何利用此機制發送郵件。這個未解的問題引發外界質疑：是否有人利用外洩資料中的用戶名稱，透過自動化方式批量觸發密碼重設請求。

資安專家指出，暗網論壇上經常出現將舊資料重新包裝為「最新外洩」的手法，目的是提升發布者的聲譽或吸引買家。

用戶防護建議

儘管此次並非新的資料外洩事件，但這批資料包含的個人資訊仍具有被濫用的風險。資安專家建議 Instagram 用戶採取以下防護措施：啟用雙因素驗證（2FA）以增加帳號安全層級。對於未經請求的密碼重設郵件或簡訊保持警覺，切勿點擊郵件中的連結，應直接透過官方 App 或網站進行操作。定期檢視帳號活動紀錄，留意是否有異常登入。最後，避免在多個平台使用相同密碼，建議採用密碼管理工具。

即使是數年前外洩的資料，仍可能被用於發動針對性的釣魚攻擊或簡訊詐騙（smishing）。用戶應持續保持警覺，不因「舊資料」而掉以輕心。