Malwarebytes เตือนเหตุข้อมูล Instagram หลุด อ้างกระทบผู้ใช้ 17.5 ล้านบัญชี

บริษัทรักษาความปลอดภัยชี้ข้อมูลโผล่บนดาร์กเว็บ เสี่ยงถูกนำไปหลอกลวงมากขึ้น

ช่วงต้นปี 2026 กระแสกังวลด้านความปลอดภัยกลับมาอีกครั้งกับแพลตฟอร์มโซเชียลยอดนิยมอย่าง Instagram เมื่อบริษัทความปลอดภัยไซเบอร์ Malwarebytes ออกมาแจ้งเตือนว่าอาจมีชุดข้อมูลผู้ใช้ราว 17.5 ล้านบัญชี ถูกเผยแพร่ โดยพบระหว่างการเฝ้าระวังดาร์กเว็บตามปกติ และตอนนี้ไฟล์กำลังถูกส่งต่อในฟอรัมใต้ดินและตลาดซื้อขายข้อมูล ทั้งแบบแจกฟรีและแบบขาย

Malwarebytes เริ่มพูดถึงเหตุการณ์นี้ผ่านการแจ้งเตือนถึงผู้ใช้ และโพสต์บนโซเชียลราววันที่ 9 มกราคม 2026 จนทำให้หลายคนตื่นตัวมากขึ้น โดยเฉพาะเมื่อมีรายงานว่าผู้ใช้ทั่วโลกเริ่มได้รับอีเมลรีเซ็ตรหัสผ่านจาก Instagram แบบไม่ได้นัดหมาย ตั้งแต่ช่วงต้นสัปดาห์นั้น

ข้อมูลที่หลุดมีอะไรบ้าง และทำไมถึงน่ากังวล

ตามรายงานของ Malwarebytes และสื่อสายความปลอดภัยไซเบอร์หลายแห่ง ชุดข้อมูลที่อ้างว่าหลุดนี้มีรายละเอียดส่วนตัวหลากหลาย เช่น ชื่อผู้ใช้ Instagram, ชื่อจริง, อีเมล, เบอร์โทรศัพท์ต่างประเทศ, ที่อยู่บางส่วน, user ID และเมทาดาทาของโปรไฟล์อื่นๆ ลักษณะข้อมูลไม่เหมือนแค่รายชื่ออีเมลทั่วไป แต่ดูเป็นข้อมูลที่มีโครงสร้าง คล้ายผลลัพธ์จาก API

ต้นตอถูกระบุว่าเกี่ยวข้องกับ “API leak” ช่วงปลายปี 2024 โดยมีการใช้บอตสแครปข้อมูล เลี่ยงข้อจำกัดอย่าง rate limit และกลไกป้องกันอื่นๆ เพื่อดึงข้อมูลโปรไฟล์จำนวนมาก ผู้ใช้ชื่อแฝง “Solonik” ถูกอ้างว่าเป็นคนโพสต์ไฟล์ (รูปแบบ JSON และ TXT) ลงบนฟอรัม BreachForums วันที่ 7 มกราคม 2026 ภายใต้หัวข้อที่อ้างถึง “INSTAGRAM.COM 17M GLOBAL USERS, 2024 API LEAK” และตัวอย่างที่ถูกแชร์ออกมาบางส่วนแสดงข้อมูลจริง เช่น username, อีเมล และเบอร์โทร

รายงานระบุว่าไม่มีรหัสผ่านอยู่ในชุดข้อมูล ทำให้ความเสี่ยงในการยึดบัญชีโดยตรงลดลง แต่ข้อมูลติดต่อที่ครบและละเอียดทำให้มิจฉาชีพนำไปใช้ต่อได้ง่าย Malwarebytes เตือนชัดว่า ข้อมูล “มีให้ซื้อขายบนดาร์กเว็บ และอาจถูกนำไปใช้โดยอาชญากรไซเบอร์” เพื่อโจมตีแบบสวมรอย, ฟิชชิงแบบเจาะจงเป้าหมาย และหลอกเก็บข้อมูลล็อกอิน

ผู้โจมตีอาจเอาชื่อจริง พื้นที่ หรือเบอร์โทร ไปเขียนข้อความหลอกที่ดูน่าเชื่อ เหมือนเป็นทีมซัพพอร์ตของ Instagram ในกรณีที่หนักขึ้น ข้อมูลเบอร์โทรอาจถูกใช้เป็นส่วนหนึ่งของการทำ SIM swapping เพื่อยึดเบอร์และดักรหัส 2FA หรือใช้กลวิธี social engineering หลอกให้เหยื่อบอกรหัสผ่านเอง

อีเมลรีเซ็ตรหัสผ่านจำนวนมาก ยิ่งทำให้คนแตกตื่น

สิ่งที่ยิ่งทำให้คนกังวล คือผู้ใช้ Instagram จำนวนมากเริ่มได้รับอีเมลรีเซ็ตรหัสผ่านที่ดูเหมือนถูกต้อง ส่งจาก security@mail.instagram.com ประมาณวันที่ 8 มกราคม 2026 ทั้งที่หลายคนยืนยันว่าไม่ได้กด “ลืมรหัสผ่าน” เอง

Malwarebytes เชื่อมโยงอีเมลชุดนี้กับข้อมูลที่ถูกเผยแพร่ โดยมองว่าผู้ไม่หวังดีกำลังใช้รายชื่ออีเมลที่หลุด เพื่อสั่งคำขอรีเซ็ตรหัสผ่านแบบอัตโนมัติจำนวนมาก วิธีนี้ช่วยได้หลายอย่างในเวลาเดียวกัน เช่น เช็กว่าบัญชีไหนยังใช้งานอยู่ สร้างความรำคาญให้ผู้ใช้ และปูทางไปสู่การฟิชชิงรอบถัดไป (อย่างการส่งลิงก์รีเซ็ตปลอมตามมา)

ในฟอรัมและโซเชียลมีคนแชร์ภาพหน้าจอจำนวนมาก บางคนบอกว่าได้รับอีเมลแบบนี้เป็นสิบฉบับในเวลาไม่นาน ตอนแรกหลายคนคิดว่าเป็นบั๊ก แต่พอข่าวชุดข้อมูล 17.5 ล้านเรคคอร์ดเริ่มกระจาย วงเชื่อมโยงก็ชัดขึ้น

คำชี้แจงจาก Meta, ไม่ใช่การเจาะระบบ แต่เป็นช่องโหว่ที่แก้แล้ว

ฝั่ง Instagram และบริษัทแม่อย่าง Meta ออกมาปฏิเสธว่ามีการ “แฮ็กระบบ” โดยในโพสต์บน X วันที่ 11 มกราคม 2026 ระบุว่า “เราแก้ไขปัญหาที่ทำให้บุคคลภายนอกสามารถขออีเมลรีเซ็ตรหัสผ่านแทนบางคนได้ ไม่มีการละเมิดระบบของเรา และบัญชี Instagram ของคุณปลอดภัย คุณสามารถเพิกเฉยต่ออีเมลเหล่านั้นได้ ขออภัยในความสับสน”

Meta ยังไม่ได้ออกแถลงการณ์ยืนยันตัวเลข 17.5 ล้าน หรือยืนยันที่มาของชุดข้อมูลดังกล่าวโดยตรง โดยกรอบคำอธิบายของบริษัทโฟกัสไปที่การถูกใช้ประโยชน์จากช่องโหว่ที่ตอนนี้อุดแล้ว ซึ่งทำให้เกิดการส่งคำขอรีเซ็ตจำนวนมาก มากกว่าจะเป็นหลักฐานว่าข้อมูลหลุดจากระบบภายใน

แนวทางนี้คล้ายเหตุการณ์ในอดีต เช่น กรณีปี 2021 ที่มีข้อมูลผู้ใช้มากกว่า 530 ล้านรายถูกสแครปและเผยแพร่ โดยถูกอธิบายว่าเป็นข้อมูลโปรไฟล์สาธารณะ ไม่ใช่การเจาะระบบ บางเสียงมองว่าเป็นการลดน้ำหนักปัญหาการสแครปข้อมูล ขณะที่อีกฝั่งชี้ว่าถ้าไม่มีระบบหลักถูกเจาะ และบัญชียังอยู่ครบ ก็ไม่ควรเรียกว่าโดนแฮ็ก

ผลกระทบต่อผู้ใช้ และสิ่งที่ควรทำตอนนี้

แม้รายละเอียดหลายส่วนยังตรวจสอบได้ไม่ครบ และ Meta ไม่รับคำว่า “ข้อมูลรั่วจากการเจาะระบบ” เหตุการณ์นี้ก็สะท้อนความเสี่ยงที่เกิดซ้ำบนแพลตฟอร์มใหญ่ๆ ต่อให้ไม่มีรหัสผ่านหลุด ข้อมูลติดต่อที่ละเอียดก็เพิ่มโอกาสถูกฟิชชิงและขโมยตัวตน โดยเฉพาะบัญชีที่มีผู้ติดตามเยอะ หรือคนที่ถูกเล็งเป็นเป้าหมายอยู่แล้ว

คำแนะนำจากผู้เชี่ยวชาญด้านความปลอดภัย รวมถึง Malwarebytes มีแนวทางหลักๆ ดังนี้

• เปลี่ยนรหัสผ่านผ่านแอปหรือเว็บของ Instagram โดยตรง อย่ากดจากลิงก์ในอีเมล
• เปิดใช้งาน two-factor authentication (2FA) และเลือกใช้แอป authenticator แทน SMS เพื่อลดความเสี่ยงจาก SIM swapping
• เพิกเฉยต่ออีเมลรีเซ็ตที่ไม่ได้ขอเอง ถ้ากังวลให้ล็อกอินเข้าไปเช็กกิจกรรมในบัญชีโดยตรง
• ตรวจสอบการหลุดของอีเมลด้วยเครื่องมืออย่าง HaveIBeenPwned.com หรือสแกน Digital Footprint ฟรีของ Malwarebytes
• ระวังฟิชชิงเป็นพิเศษ ถ้ามีข้อความที่เอาข้อมูลส่วนตัวมาพูดเพื่อให้เราเชื่อใจ

เหตุการณ์นี้เกิดท่ามกลางแนวโน้มข้อมูลโซเชียลหลุดเป็นระยะ ช่วงปลายปี 2024 ก็มีชุดข้อมูล Instagram ขนาดใหญ่อีกรอบโผล่ขึ้นมา และ Meta ยังถูกจับตาเรื่องความเป็นส่วนตัวและมาตรการป้องกันการสแครปข้อมูลอยู่เรื่อยๆ

ผลต่อความเชื่อมั่นของแพลตฟอร์ม

เมื่อ Instagram มีผู้ใช้งานต่อเดือนใกล้ระดับ 2.5 พันล้านคน เหตุการณ์แบบนี้ทำให้หลายคนไม่สบายใจ แม้บริษัทจะยืนยันว่าระบบปลอดภัย แต่การมีข้อมูลกว่า 17.5 ล้านเรคคอร์ดถูกปล่อยออกมา ไม่ว่าจะมาจากการสแครปหรือช่องโหว่ API ก็สะท้อนว่าความเป็นส่วนตัวยังถูกคุกคามได้ง่าย และดาร์กเว็บทำให้ข้อมูลกระจายเร็วมาก

สิ่งสำคัญคืออย่าตื่นตระหนก แต่ก็อย่ามองข้าม ความเสียหายมักเกิดตอนข้อมูลถูกเอาไปใช้ต่อ มากกว่าตอนมันหลุดครั้งแรก ดูแลความปลอดภัยพื้นฐานให้สม่ำเสมอ ยังเป็นวิธีที่ช่วยได้มากที่สุดในช่วงที่ข้อมูลส่วนตัวกลายเป็นของที่ถูกซื้อขายกันง่ายขึ้นเรื่อยๆ

ข่าวที่กำลังเป็นที่นิยม

ประเทศไทยกำลังเร่งดำเนินการเพื่อดึงดูดดิสนีย์แลนด์มาตั้งอยู่ในประเทศไทย