Instagram ha respinto le accuse di una violazione dei propri sistemi dopo la diffusione online di un dataset che riguarderebbe 17 milioni di account, mentre negli Stati Uniti la California ha imposto uno dei più duri interventi normativi mai visti contro il commercio illecito di dati sanitari, vietando a un broker la rivendita di informazioni sensibili appartenenti a milioni di persone. Due vicende distinte, ma legate dallo stesso filo conduttore: la pressione crescente sulla privacy digitale e il valore economico dei dati personali.
Cosa leggere
Il presunto leak di 17 milioni di account Instagram
Un presunto leak di dati Instagram ha iniziato a circolare su forum frequentati da cybercriminali, con un dataset attribuito a circa 17 milioni di profili. I record includerebbero, in modo non uniforme, username, ID univoci Instagram, numeri di telefono, indirizzi email, nomi reali e, in una quota limitata di casi, anche indirizzi fisici. Secondo le analisi iniziali, le password non risultano presenti, un elemento chiave per valutare la reale portata dell’episodio.
La società madre Meta ha dichiarato che non si tratta di una nuova violazione, ma di una compilazione di dati ottenuti tramite scraping in passato, in particolare attraverso API legacy e bug già noti e corretti. Ricercatori indipendenti hanno collegato il dataset a attività di scraping risalenti al 2022, e persino a vulnerabilità più vecchie, come un bug del 2017 che consentiva l’estrazione di dati su milioni di account.
La risposta ufficiale di Instagram e Meta
Secondo Meta, nessuna evidenza tecnica dimostra un accesso non autorizzato recente ai sistemi di Instagram. L’azienda ha inoltre confermato di aver corretto un bug legato ai reset della password, che poteva essere sfruttato per inviare email o SMS di reset non richiesti, aumentando il rischio di phishing mirato.
Instagram ha invitato gli utenti a ignorare messaggi di reset non sollecitati, ribadendo che le credenziali non sono state compromesse. L’azienda ha anche raccomandato l’attivazione dell’autenticazione a due fattori (2FA) come misura preventiva, sottolineando che molti attacchi successivi ai leak di dati sfruttano ingegneria sociale, non vulnerabilità tecniche dirette.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Il rischio reale per gli utenti: phishing e social engineering
Anche in assenza di un breach diretto, la diffusione di dataset con numeri di telefono, email e username comporta rischi concreti. I cybercriminali possono sfruttare queste informazioni per smishing, phishing personalizzato e tentativi di account takeover su più piattaforme, specialmente se gli utenti riutilizzano le stesse credenziali.
Esperti di sicurezza evidenziano come questi episodi aumentino la probabilità di attacchi mirati, in cui i messaggi fraudolenti risultano più credibili perché basati su dati reali. La raccomandazione resta quella di limitare le informazioni pubbliche, usare password uniche, attivare 2FA e monitorare eventuali attività sospette sugli account.
La California e la svolta contro la rivendita di dati sanitari
Mentre il caso Instagram alimenta il dibattito sulla sicurezza delle piattaforme social, la California ha compiuto un passo deciso sul fronte normativo applicando la Delete Act, una legge che colpisce direttamente i data broker. La norma impone a tutti i broker che operano nello Stato di registrarsi annualmente e consente ai consumatori di cancellare i propri dati attraverso una piattaforma centralizzata chiamata DROP, operativa dal 2026.
L’obiettivo è ridurre drasticamente il mercato secondario dei dati personali, con particolare attenzione ai dati sanitari, considerati tra i più sensibili in assoluto. La legge rafforza e amplia lo spirito del CCPA, introducendo un modello di opt-out centralizzato che semplifica enormemente l’esercizio dei diritti da parte dei cittadini.
Il caso Datamasters: ban e multa per la rivendita di dati health
Il primo caso emblematico riguarda Datamasters, un broker con sede in Texas, colpito da un divieto operativo in California e da una multa di circa 41.260 euro. Secondo l’autorità di controllo, l’azienda avrebbe rivenduto dati sanitari di milioni di persone senza registrarsi come richiesto dalla legge.
I dataset includevano nomi, email, numeri di telefono, indirizzi fisici e informazioni estremamente delicate come condizioni mediche (tra cui Alzheimer, dipendenze e incontinenza), oltre a abitudini di acquisto, dati demografici e persino indicatori politici. La California Privacy Protection Agency ha ordinato a Datamasters di cancellare tutti i dati relativi ai residenti californiani e di cessare immediatamente qualsiasi attività di rivendita nello Stato.
Un precedente che cambia il mercato dei dati
Il provvedimento contro Datamasters rappresenta un precedente rilevante: per la prima volta, un broker viene di fatto escluso da uno Stato per violazioni legate alla gestione dei dati sanitari. Altri operatori, inclusi grandi nomi come S&P Global, sono già stati multati per mancata registrazione, anche se in forma meno grave.
Secondo gli esperti, la Delete Act potrebbe ridisegnare il mercato dei dati negli Stati Uniti, aumentando i costi di compliance e riducendo il valore commerciale dei dataset più invasivi. Per i consumatori, significa maggiore controllo e minore esposizione a discriminazioni, frodi e abusi basati su informazioni sanitarie.
Social media e regolamentazione: due facce della stessa crisi
Il presunto leak Instagram e il ban californiano mostrano due facce dello stesso problema. Da un lato, piattaforme globali che devono difendersi da scraping sistematico e abusi dei dati; dall’altro, autorità pubbliche che intervengono per frenare un mercato opaco che prospera sulla raccolta e rivendita di informazioni personali. In entrambi i casi, il messaggio è chiaro: la privacy digitale è diventata un terreno di scontro centrale tra tecnologia, criminalità informatica e regolazione, con effetti diretti sulla sicurezza quotidiana di milioni di utenti.
Domande frequenti su Instagram, leak dati e Delete Act
Instagram ha subito davvero un data breach da 17 milioni di account?
Secondo Meta, no. L’azienda afferma che i dati derivano da scraping storico e non da una nuova violazione dei sistemi di Instagram.
Quali rischi corrono gli utenti se i dati sono stati solo “scrapati”?
Anche senza password, email, numeri di telefono e username possono essere usati per phishing mirato, smishing e tentativi di truffa personalizzata.
Cos’è la Delete Act della California?
È una legge che obbliga i data broker a registrarsi e consente ai cittadini di cancellare i propri dati tramite una piattaforma unica chiamata DROP, attiva dal 2026.
Perché il caso Datamasters è così importante?
Perché segna il primo ban concreto contro un broker per la rivendita di dati sanitari, creando un precedente che può cambiare l’intero mercato dei dati personali negli Stati Uniti.
