Une fuite de données impliquant 17,5 millions de comptes Instagram a refait surface sur le dark web, attribuée à une faille de l'API datant de 2024. Les données, désormais en circulation sur Breachforums, comprennent des noms d'utilisateur, des adresses e-mail, des numéros de téléphone et des métadonnées de comptes. La société de cybersécurité Malwarebytes a identifié la fuite, avertissant les utilisateurs des risques potentiels d'attaques de phishing et conseillant un changement immédiat de mot de passe ainsi que l'activation de l'authentification à deux facteurs. La violation, initialement causée par une mauvaise configuration de l'API Instagram, a permis un scraping à grande échelle des profils utilisateurs. La réapparition de ces données en janvier 2026 a entraîné une augmentation des e-mails non sollicités de réinitialisation de mot de passe, les attaquants exploitant le système légitime de réinitialisation d'Instagram pour faciliter le phishing. Meta n'a pas encore commenté la situation.