Trong những ngày gần đây, nhiều người dùng Instagram phản ánh việc họ bất ngờ nhận được email thông báo đặt lại mật khẩu dù không hề thực hiện yêu cầu này. Hiện vẫn chưa có kết luận cuối cùng về bản chất của sự việc, tuy nhiên hiện tượng trên xuất hiện cùng thời điểm với thông tin về một tập dữ liệu liên quan tới khoảng 17,5 triệu tài khoản Instagram đang được rao bán trên mạng, làm dấy lên lo ngại về nguy cơ rò rỉ thông tin cá nhân.
Theo các báo cáo ban đầu, tập dữ liệu nói trên không chứa mật khẩu người dùng, mà chủ yếu bao gồm tên tài khoản và một số thông tin liên hệ. Dù vậy, việc dữ liệu này bị phát tán vẫn tạo điều kiện cho các đối tượng xấu lợi dụng để gửi những email giả mạo thông báo bảo mật, khiến người dùng hiểu lầm rằng tài khoản của mình đang gặp nguy hiểm và cần xử lý gấp.
Làn sóng email đặt lại mật khẩu được cho là bắt nguồn từ việc lạm dụng các hệ thống sẵn có, thay vì xuất phát từ hành vi chiếm quyền truy cập tài khoản hàng loạt. Trước những nghi vấn này, Meta, công ty mẹ của Instagram, khẳng định không có dấu hiệu cho thấy hạ tầng nội bộ của họ bị xâm nhập. Đại diện Meta cho biết đây là hành vi khai thác lỗi hoặc lạm dụng quy trình, cho phép bên thứ ba kích hoạt yêu cầu đặt lại mật khẩu với quy mô lớn.
Meta cũng cho biết vấn đề đã được khắc phục. Tuy nhiên, ngay cả khi lỗ hổng kỹ thuật đã được xử lý, các chiến dịch lừa đảo dựa trên dữ liệu cũ vẫn có thể tiếp diễn trong nhiều tháng, đặc biệt khi người dùng chưa kịp nắm bắt thông tin đầy đủ.
Một điểm đáng chú ý khác là nhiều tài khoản Instagram sử dụng chung địa chỉ email với tài khoản Apple ID. Trong thực tế, các chiến dịch phishing thường không dừng lại ở mạng xã hội mà có thể mở rộng sang các dịch vụ như iCloud, Apple Pay hoặc gian lận trên App Store, khiến rủi ro lan rộng hơn nếu người dùng sơ suất.
Với người dùng hệ sinh thái Apple, các chuyên gia khuyến cáo nên bỏ qua mọi email đặt lại mật khẩu mà bản thân không chủ động yêu cầu, kể cả khi email có giao diện và nội dung trông rất giống thông báo chính thức. Các email hợp lệ thường không gây áp lực về thời gian, trong khi kẻ tấn công lại tận dụng tâm lý khẩn cấp để dụ người nhận nhấp vào liên kết.
Trong trường hợp lo lắng về bảo mật, người dùng nên mở trực tiếp ứng dụng Instagram trên iOS hoặc macOS để kiểm tra cài đặt bảo mật, thay vì truy cập thông qua liên kết trong email. Việc kích hoạt xác thực hai lớp bằng ứng dụng tạo mã cũng được xem là biện pháp cần thiết để tăng cường an toàn tài khoản.
Nhìn chung, rủi ro lớn nhất ở thời điểm hiện tại không nằm ở việc mật khẩu bị lộ, mà ở các hình thức lừa đảo tinh vi dựa trên email giả mạo. Nhận biết và cảnh giác với những thông báo bảo mật không được yêu cầu vẫn là cách hiệu quả nhất để người dùng tự bảo vệ mình.
