E-mail reset password di Instagram: la causa è un furto di dati che coinvolge 17,5 milioni di account

Redazione di Hardware Upg · 10-01-2026, 23:14

Link alla notizia: https://www.hwupgrade.it/news/web/e-...nt_148431.html

Se nelle scorse ore avete ricevuto una e-mail per il reset della password di Instagram dovete sapere che la causa è un furto di dati che ha coinvolto ben 17,5 milioni di account frutto di un problema di sicurezza risalente al 2024.

Click sul link per visualizzare la notizia.

zappy · 11-01-2026, 10:13

LORO si fanno bucare e rubare i TUOI dati, e TU devi dargli altri dati ancora per l’autenticazione a due fattori.

Come fa google: se non riconosce un accesso da un nuovo dispositivo, oltre la pass chiede (sul nuovo dispositivo non riconosciuto quindi potenzialmente sospetto) che tu gli dia un numero di telefono per mandarti un SMS con un codice. Ma se non riconosce l'accesso e lo considera sospetto, perchè chiede al sospetto di fornire un cell?
Metti che sia qualcuno che sta cercando di bucarti l'account, google chiede un cell "per conferma" proprio a chi ti sta bucando l'account!

Tutte balle, la 2fa serve solo ad accalappiare altri dati degli utenti. Se poi uno è coglione e come pass usa pippo o la attacca col postit allo schermo, cazzi suoi.

marcram · 11-01-2026, 10:23

Quote:

Originariamente inviato da zappy

LORO si fanno bucare e rubare i TUOI dati, e TU devi dargli altri dati ancora per l’autenticazione a due fattori.

No, non sei costretto a dargli dati per l'autenticazione a 2 fattori.
Sei tu, in caso, che scegli di darglieli.
La 2FA funziona tranquillamente senza...

Darkon · 11-01-2026, 10:53

Comunque è incredibile che si facciano bucare ogni 3x2 ma porca miseria è un continuo.

A volte veramente mi chiedo come diamine gestiscono i server.

insane74 · 11-01-2026, 11:09

mail di reset ricevuta (non è la prima che io ricordi. anche un anno fa o giù di lì me ne arrivò una).
debitamente ignorata.
profilo spazzatura usato solo per visualizzare i video scemi che amici mi inviano sulle chat di gruppo.
registrato con mail fittizia ("nascondi la mia mail" di iCloud), password complessa, 2FA con app.

Silent Bob · 11-01-2026, 12:31

Complimenti a Meta del caxxo, e cmq il 2FA io lo vorrei fare anche via mail se è possibile, ma con loro no.

Quote:

Originariamente inviato da insane74

mail di reset ricevuta (non è la prima che io ricordi. anche un anno fa o giù di lì me ne arrivò una).
debitamente ignorata.
profilo spazzatura usato solo per visualizzare i video scemi che amici mi inviano sulle chat di gruppo.
registrato con mail fittizia ("nascondi la mia mail" di iCloud), password complessa, 2FA con app.

a me ne sono arrivate 2 in 3 giorni, mai arrivate prima.

Ad ogni modo sul profilo IG c'è proprio il modo di vedere se ti hanno inviato veramente la mail loro o no ed in effetti nessuna traccia.

Io pure non ho niente di che messo la sopra.

insane74 · 11-01-2026, 18:34

Meta dice che non c'è stata nessuna breccia: https://www.theverge.com/news/860337...d-reset-emails
credere a loro o a Malwarebytes?

zephyr83 · 12-01-2026, 00:41

Quote:

Originariamente inviato da zappy

LORO si fanno bucare e rubare i TUOI dati, e TU devi dargli altri dati ancora per l’autenticazione a due fattori.

Come fa google: se non riconosce un accesso da un nuovo dispositivo, oltre la pass chiede (sul nuovo dispositivo non riconosciuto quindi potenzialmente sospetto) che tu gli dia un numero di telefono per mandarti un SMS con un codice. Ma se non riconosce l'accesso e lo considera sospetto, perchè chiede al sospetto di fornire un cell?
Metti che sia qualcuno che sta cercando di bucarti l'account, google chiede un cell "per conferma" proprio a chi ti sta bucando l'account!

Tutte balle, la 2fa serve solo ad accalappiare altri dati degli utenti. Se poi uno è coglione e come pass usa pippo o la attacca col postit allo schermo, cazzi suoi.

non è proprio così, il numero di telefono ce l'hanno già perché gliel'hai fornito in origine. il messaggio di conferma te lo inviano a quel numero, non chiedono di inserirne una a mano sul momento, non avrebbe davvero senso.

NicoMcKiry · 12-01-2026, 07:58

Quote:

Originariamente inviato da zappy

LORO si fanno bucare e rubare i TUOI dati, e TU devi dargli altri dati ancora per l’autenticazione a due fattori.

Come fa google: se non riconosce un accesso da un nuovo dispositivo, oltre la pass chiede (sul nuovo dispositivo non riconosciuto quindi potenzialmente sospetto) che tu gli dia un numero di telefono per mandarti un SMS con un codice. Ma se non riconosce l'accesso e lo considera sospetto, perchè chiede al sospetto di fornire un cell?
Metti che sia qualcuno che sta cercando di bucarti l'account, google chiede un cell "per conferma" proprio a chi ti sta bucando l'account!

Tutte balle, la 2fa serve solo ad accalappiare altri dati degli utenti. Se poi uno è coglione e come pass usa pippo o la attacca col postit allo schermo, cazzi suoi.

non funziona così. google ti manda un SMS su un numero di cellulare che hai già registrato e verificato, non te ne fa mettere uno qualsiasi.

zappy · 12-01-2026, 16:06

Quote:

Originariamente inviato da marcram

No, non sei costretto a dargli dati per l'autenticazione a 2 fattori.
Sei tu, in caso, che scegli di darglieli.
La 2FA funziona tranquillamente senza...

e il secondo fattore dove te lo mandano?
sul cell (e devono avere il numero) o su un'app sul cell (quindi idem).
O sbaglio?

zappy · 12-01-2026, 16:09

Quote:

Originariamente inviato da zephyr83

non è proprio così, il numero di telefono ce l'hanno già perché gliel'hai fornito in origine. il messaggio di conferma te lo inviano a quel numero, non chiedono di inserirne una a mano sul momento, non avrebbe davvero senso.

Quote:

Originariamente inviato da NicoMcKiry

non funziona così. google ti manda un SMS su un numero di cellulare che hai già registrato e verificato, non te ne fa mettere uno qualsiasi.

visto che io NON gli ho dato MAI nessun n° di cell per quell'account (nè alcun altro dato che non fosse username e password), le vostre considerazioni sono sbagliate.

Chiede davvero un nuovo numero di cell a chi cerca di bucarti l'account, spacciandolo per un "controllo di sicurezza" che è esattamente l'opposto, visto che consegna il 2° fattore nuovo di zecca (che probabilmente poi considerano prioritario

) a un potenziale sconosciuto.

marcram · 12-01-2026, 16:51

Quote:

Originariamente inviato da zappy

e il secondo fattore dove te lo mandano?
sul cell (e devono avere il numero) o su un'app sul cell (quindi idem).
O sbaglio?

Sbagli.
Ho una ventina di "secondi fattori", e non ho mai dato il numero di cellulare a nessuno di essi.
Basta un'app. Anche sul pc, se vuoi.

zappy · 14-01-2026, 20:50

Quote:

Originariamente inviato da marcram

Sbagli.
Ho una ventina di "secondi fattori", e non ho mai dato il numero di cellulare a nessuno di essi.
Basta un'app. Anche sul pc, se vuoi.

Spiegami come fanno a sapere a quale app su quale dispositivo inviare il 2° fattore.
Se non gli hai dato il n° di cell esplicitamente, gli hai dato un account che risiede sul cell, che quindi è connesso al n° di cell in un modo o nell'altro, no?

marcram · Ieri, 10:03

Quote:

Originariamente inviato da zappy

Spiegami come fanno a sapere a quale app su quale dispositivo inviare il 2° fattore.
Se non gli hai dato il n° di cell esplicitamente, gli hai dato un account che risiede sul cell, che quindi è connesso al n° di cell in un modo o nell'altro, no?

No, il TOTP si basa su un codice che cambia nel tempo.
Loro ti danno il "seme" (con un QR, ad esempio) che tu inserisci nella tua app (app completamente offline).
La tua app ti da, ogni 30 secondi, un codice diverso, che l'algoritmo ha calcolato in base al seme e in base all'ora precisa.
Inserisci quel codice nel sito, e loro verificano che il codice sia giusto, in base all'ora corrente.
Tutto qui, app e server di autenticazione sono completamente scollegati, a parte il seme che hai condiviso al momento della registrazione.

Anche le app di memorizzazione password (tipo Keepass) permettono il salvataggio del seme e la generazione del codice 2FA, quindi anche da pc.

zappy · Ieri, 11:09

Quote:

Originariamente inviato da marcram

No, il TOTP si basa su un codice che cambia nel tempo.
Loro ti danno il "seme" (con un QR, ad esempio) che tu inserisci nella tua app (app completamente offline).
La tua app ti da, ogni 30 secondi, un codice diverso, che l'algoritmo ha calcolato in base al seme e in base all'ora precisa.
Inserisci quel codice nel sito, e loro verificano che il codice sia giusto, in base all'ora corrente.
Tutto qui, app e server di autenticazione sono completamente scollegati, a parte il seme che hai condiviso al momento della registrazione.

Anche le app di memorizzazione password (tipo Keepass) permettono il salvataggio del seme e la generazione del codice 2FA, quindi anche da pc.

Grazie del chiarimento

11-01-2026, 10:13	#2
zappy Senior Member Iscritto dal: Oct 2001 Messaggi: 20339	LORO si fanno bucare e rubare i TUOI dati, e TU devi dargli altri dati ancora per l’autenticazione a due fattori. Come fa google: se non riconosce un accesso da un nuovo dispositivo, oltre la pass chiede (sul nuovo dispositivo non riconosciuto quindi potenzialmente sospetto) che tu gli dia un numero di telefono per mandarti un SMS con un codice. Ma se non riconosce l'accesso e lo considera sospetto, perchè chiede al sospetto di fornire un cell? Metti che sia qualcuno che sta cercando di bucarti l'account, google chiede un cell "per conferma" proprio a chi ti sta bucando l'account! Tutte balle, la 2fa serve solo ad accalappiare altri dati degli utenti. Se poi uno è coglione e come pass usa pippo o la attacca col postit allo schermo, cazzi suoi. __________________ Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.)

11-01-2026, 11:09	#5
insane74 Senior Member Iscritto dal: Feb 2003 Città: BG Messaggi: 10168	mail di reset ricevuta (non è la prima che io ricordi. anche un anno fa o giù di lì me ne arrivò una). debitamente ignorata. profilo spazzatura usato solo per visualizzare i video scemi che amici mi inviano sulle chat di gruppo. registrato con mail fittizia ("nascondi la mia mail" di iCloud), password complessa, 2FA con app. __________________ Mac mini M1,16GB,2TB,10Gbit;Satechi Hub NVMe;Samsung 990 Pro 4TB;WD My Passport for Mac 4TB / Logitech MX Keys;Logitech MX Vertical;Philips 288E2A;PreSonus Eris E3.5;HP LaserJet Pro M281fdw / QNAP TVS-871-i3-4G,8GB,8x WD Red CMR 6TB raid 6,QNAP QXG-2G1T-I225 / Asus GT-BE19000;QNAP QSW-1105-5T / iPhone 17 Pro Max 1TB;iPad mini 6 256GB;Apple Watch Ultra 2;AirPods Pro 2;Kindle Paperwhite 11 SE / LG OLED C2 48";Apple TV 4K 2021 64GB;Denon AVR-X2800H / Xbox Series X;Seagate Expansion Card 2TB

11-01-2026, 18:34	#7
insane74 Senior Member Iscritto dal: Feb 2003 Città: BG Messaggi: 10168	Meta dice che non c'è stata nessuna breccia: https://www.theverge.com/news/860337...d-reset-emails credere a loro o a Malwarebytes? __________________ Mac mini M1,16GB,2TB,10Gbit;Satechi Hub NVMe;Samsung 990 Pro 4TB;WD My Passport for Mac 4TB / Logitech MX Keys;Logitech MX Vertical;Philips 288E2A;PreSonus Eris E3.5;HP LaserJet Pro M281fdw / QNAP TVS-871-i3-4G,8GB,8x WD Red CMR 6TB raid 6,QNAP QXG-2G1T-I225 / Asus GT-BE19000;QNAP QSW-1105-5T / iPhone 17 Pro Max 1TB;iPad mini 6 256GB;Apple Watch Ultra 2;AirPods Pro 2;Kindle Paperwhite 11 SE / LG OLED C2 48";Apple TV 4K 2021 64GB;Denon AVR-X2800H / Xbox Series X;Seagate Expansion Card 2TB

10-01-2026, 23:14	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: https://www.hwupgrade.it/news/web/e-...nt_148431.html Se nelle scorse ore avete ricevuto una e-mail per il reset della password di Instagram dovete sapere che la causa è un furto di dati che ha coinvolto ben 17,5 milioni di account frutto di un problema di sicurezza risalente al 2024. Click sul link per visualizzare la notizia.

11-01-2026, 10:53	#4
Darkon Senior Member Iscritto dal: Sep 2008 Messaggi: 8937	Comunque è incredibile che si facciano bucare ogni 3x2 ma porca miseria è un continuo. A volte veramente mi chiedo come diamine gestiscono i server.

Strumenti
Mostra una versione stampabile Invia questa pagina per email