Používatelia Instagramu si v posledných dňoch začali vo veľkom všímať znepokojujúci jav. Do e-mailových schránok im prichádzali oficiálne vyzerajúce výzvy na resetovanie hesla, hoci o nič také nežiadali. Na prvý pohľad to pôsobilo ako ďalší masívny kybernetický útok alebo únik dát. Bezpečnostná komunita spozornela a na stole sa rýchlo objavilo číslo, ktoré vyvolalo obavy. Konkrétne išlo až o 17,5 milióna údajne kompromitovaných účtov. Meta však tvrdí, že realita je menej dramatická.

Podľa spoločnosti nejde o žiadny nový únik citlivých údajov, ale o technickú chybu v rozhraní API, ktorá umožnila externým subjektom hromadne spúšťať odosielanie e-mailov na reset hesla. Inými slovami, niekto dokázal Instagram presvedčiť, aby sám rozposielal varovania, hoci účty ako také napadnuté neboli. Téme sa venovali portály Tech Spot a Cyber Security News.

Chyba v API

Celý incident sa dostal do centra pozornosti po upozornení spoločnosti Malwarebytes, ktorá informovala o databáze s údajmi miliónov instagramových účtov kolujúcej na podzemných fórach. Podľa pôvodných informácií mali útočníci disponovať používateľskými menami, e-mailovými adresami, telefónnymi číslami či dokonca fyzickými adresami. To viedlo k špekuláciám o vážnom narušení bezpečnosti platformy.

Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL

— Malwarebytes (@Malwarebytes) January 9, 2026

Instagram však tieto tvrdenia rázne odmietol. Meta potvrdila existenciu chyby v API, ktorá umožňovala zneužiť funkciu resetovania hesla, no zároveň zdôraznila, že nedošlo k žiadnemu úniku používateľských dát. „Opravili sme technický problém, ktorý umožňoval spúšťať e-maily na reset hesla pre niektorých používateľov. Nezaznamenali sme žiadne narušenie bezpečnosti ani kompromitáciu účtov,“ uviedla spoločnosť v oficiálnom stanovisku. Používateľom odkázala, aby tieto e-maily pokojne ignorovali.

Staré dáta v novom balení

Číslo 17,5 milióna účtov sa však ukazuje ako problematické. Bezpečnostní analytici dnes čoraz viac inklinujú k názoru, že nejde o čerstvo získané informácie. Podľa nich môže ísť o dáta zo starších incidentov, ktoré boli znovu zabalené a vydávané za nový únik. Jednou z možností je rozsiahle API scrapovanie z roku 2022, prípadne ešte starší prípad z roku 2017, ktorý Instagram v minulosti oficiálne priznal.

Dôležitým faktom je, že v dostupných databázach sa nenachádzajú heslá. To výrazne znižuje okamžité riziko priameho prevzatia účtov. Meta navyše tvrdí, že medzi rokmi 2022 a 2024 nezaznamenala žiadny bezpečnostný incident, ktorý by zodpovedal popisovanému scenáru masívneho úniku dát.

We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.

You can ignore those emails — sorry for any confusion.

— Instagram (@instagram) January 11, 2026

Prečo sú e-maily stále problém

Aj keď sa ukazuje, že nejde o nový hackerský útok, situáciu netreba podceňovať. Samotná existencia e-mailových adries a telefónnych čísel prepojených s instagramovými účtami vytvára ideálne podmienky pre cielený phishing. Útočníci dokážu pripraviť mimoriadne presvedčivé správy, ktoré sa tvária ako komunikácia od Instagramu alebo Mety a snažia sa vylákať prihlasovacie údaje.

Viacerí používatelia potvrdili, že po objavení sa databázy začali dostávať legitímne notifikácie o pokusoch o reset hesla. To naznačuje, že niekto s dátami aktívne pracuje a skúša, čo ešte dokáže využiť.

Instagram účty sú podľa Mety momentálne v bezpečí, no opatrnosť je stále na mieste. Ak používateľ dostane e-mail na reset hesla, o ktorý nežiadal, najrozumnejšie je ho ignorovať a neklikať na žiadne odkazy. Zároveň platí, že dvojfaktorové overovanie, prípadne moderné passkeys, patria medzi najúčinnejšie ochrany proti podobným nízko nákladovým, no vytrvalým útokom.

Čítajte viac z kategórie: Aplikácie