Instagram ontkende elke inbreuk op de beveiliging nadat sommige gebruikers verdachte verzoeken voor het opnieuw instellen van het wachtwoord hadden ontvangen, waarmee ze claims van antivirusbedrijf Malwarebytes over gegevensdiefstal van 17,5 miljoen accounts tegengingen. Malwarebytes gepost op Bluesky op vrijdag, waarbij een screenshot werd gedeeld van een e-mail van Instagram waarin gebruikers op de hoogte werden gesteld van een verzoek om het opnieuw instellen van het wachtwoord. In het bericht stond letterlijk: “Cybercriminelen hebben de gevoelige informatie van 17,5 miljoen Instagram-accounts gestolen, inclusief gebruikersnamen, fysieke adressen, telefoonnummers, e-mailadressen en meer.” Malwarebytes merkte verder op dat deze gestolen gegevens te koop zijn op het dark web en kunnen worden misbruikt door cybercriminelen. Instagram reageerde op X, voorheen Twitter, en kondigde aan dat het een probleem had opgelost waardoor een externe partij voor sommige gebruikers e-mails voor het opnieuw instellen van het wachtwoord kon aanvragen. Het bedrijf verstrekte geen details over de identiteit van de externe partij of de aard van het technische probleem. Het bericht van Instagram eindigde met de verklaring: “Je kunt die e-mails negeren – sorry voor eventuele verwarring.”
