Dix-sept millions de comptes Instagram concernés par une fuite désormais publique, déjà diffusée librement sur des forums clandestins depuis 2024, relançant les craintes d’abus à grande échelle via l’ingénierie sociale.
Une base de données attribuée à Instagram, totalisant plus de 17 millions d’enregistrements, vient de refaire surface depuis début janvier 2026 sur des forums de hackers malveillants. Cette base n’a rien de nouveau. Elle avait déjà été diffusée en 2024. Elle contient des informations personnelles. Le jeu de données, publié gratuitement, proviend d’une fuite d’API datant de 2024.
Des millions de profils exposés dans des fichiers structurés
L’alerte provient d’une surveillance continue des espaces clandestins où circulent données volées et accès compromis. Les analystes ont identifié une base associée à instagram.com, diffusée en formats JSON et TXT, regroupant plus de 17 millions de profils. Les champs observés comprennent noms d’utilisateur, identités complètes, adresses électroniques, numéros de téléphone internationaux, pays, localisations partielles et identifiants internes. La structuration des données, très proche de réponses d’API, suggère un accès automatisé à des métadonnées de profils.
Le 7 janvier 2026, un acteur se présentant sous l’alias Solonik a publié l’ensemble sur BreachForums sans demander de paiement. Dans un message retrouvé par ZATAZ, il décrit précisément la cible, la nature sociale de la fuite et l’année de collecte, 2024. Les échantillons visibles confirment la cohérence des champs et recoupent les constats des équipes de veille. L’exposition mondiale est revendiquée, sans ciblage géographique spécifique, ce qui accroît mécaniquement le potentiel d’abus.
Du point de vue cyber, la valeur de ces données réside moins dans des secrets techniques que dans leur exploitabilité. Couplées à des mécanismes automatisés de réinitialisation de mots de passe, elles offrent une base idéale pour des campagnes d’hameçonnage crédibles, des tentatives d’accès par ingénierie sociale et la constitution de profils enrichis destinés à d’autres attaques.
Déni officiel et évaluations contradictoires
Meta, maison mère d’Instagram, n’a initialement publié aucune confirmation. Interrogée l’entreprise est restée silencieuse avant d’affirmer sur X, le 11 janvier, qu’aucune compromission de ses systèmes n’avait eu lieu. Selon la plateforme, les notifications reçues par des utilisateurs résulteraient d’un abus externe de la fonction de réinitialisation des mots de passe, et non d’une fuite interne.
Cette position laisse toutefois plusieurs zones d’ombre. La société n’a pas précisé si les données diffusées sur les forums étaient authentiques, ni expliqué leur origine exacte. Les fichiers observés contiennent des champs structurés difficilement compatibles avec un simple scraping opportuniste. L’hypothèse d’un point d’accès mal sécurisé, d’une intégration tierce vulnérable ou d’une mauvaise configuration interne reste ouverte pour la grande majorité des « experts ». Le pirate indique, pourtant, sa porte d’entrée. Une API déconnante.
Sur le plan du renseignement cyber, cette affaire illustre la difficulté à qualifier une fuite quand données anciennes, abus fonctionnels et diffusion opportuniste se superposent, au bénéfice d’acteurs malveillants déjà à l’œuvre. Dans les données : identités, numéro identifiant unique, user ID, adresse électronique, numéro de téléphone, pays et géoloclisation partielle. Le Service veille ZATAZ vous offre la possibilité de savoir si vous êtes dans cette fuite. Pour cela, passez par la page la page contact.
17 017 213 comptes ; 40 153 français (.fr) pour 8 245 domaines en .fr uniques.
