Dünyanın en popüler sosyal medya platformlarından biri olan Instagram, siber güvenlik dünyasını alarma geçiren devasa bir veri ihlali iddiasıyla çalkalanıyor. Yaklaşık 17.5 milyon Instagram kullanıcısına ait olduğu öne sürülen kişisel bilgilerin ele geçirildiği ve bu hassas verilerin şu anda Dark Web (Karanlık Ağ) forumlarında dolaşıma girdiği bildiriliyor. İlk olarak siber güvenlik şirketi Malwarebytes araştırmacıları tarafından gündeme getirilen ve Dark Web listelemeleriyle doğrulanan bu sızıntı, milyonlarca kullanıcıyı kimlik hırsızlığı ve hedefli kimlik avı (phishing) saldırılarına karşı savunmasız bırakabilecek bir iletişim bilgileri hazinesini ifşa etmiş durumda.
Ancak olay sadece bir veri sızıntısı iddiasından ibaret değil; kullanıcıların yaşadığı panik, güvenlik uzmanlarının uyarıları ve Instagram cephesinden gelen “sistemlerimiz güvende” açıklamasıyla karmaşık bir hal almış durumda. İşte 2026 yılının ilk büyük siber güvenlik krizlerinden biri olmaya aday bu olayın tüm detayları.
Dark Web Listelemesi ve “API Sızıntısı” İddiası
Tehlikenin boyutu, bu hafta başında kötü şöhretli bir hack forumunda ortaya çıkan bir veri setiyle gözler önüne serildi. “Solonik” takma adını kullanan bir tehdit aktörü tarafından paylaşılan ve “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” (Instagram.com 17 Milyon Küresel Kullanıcı — 2024 API Sızıntısı) başlığını taşıyan liste, siber suç dünyasında büyük yankı uyandırdı. İddiaya göre bu liste, JSON ve TXT dosya formatlarında düzenlenmiş tam 17.5 milyon kaydı içeriyor.
Forumdaki paylaşıma göre veriler, 2024 yılının sonlarında gerçekleşen bir “API Sızıntısı” (Uygulama Programlama Arayüzü sızıntısı) yoluyla toplandı. Saldırganların, standart güvenlik önlemlerini atlatarak küresel çapta kullanıcı profillerini “kazıdığı” (scraping) belirtiliyor. Siber güvenlik haber platformu CyberInsider, çalınan verilerin kaynağının Instagram API sızıntısı gibi göründüğünü belirtti. Tehdit aktörü Solonik, 7 Ocak 2026 tarihinde bu verileri, veri ihlallerinden toplanan kişisel bilgilerin paylaşıldığı bir mesaj panosunda ücretsiz olarak kullanıma sundu.
Sızdırılan Verilerin İçeriği ve Derinliği
Sızdırılan veritabanı, içerdiği kişisel bilgilerin derinliği nedeniyle özellikle zarar verici bir potansiyele sahip. Basit kullanıcı adı dökümlerinin aksine, bu ihlalde yer alan veriler siber suçluların kurbanları hakkında kapsamlı profiller oluşturmasına olanak tanıyacak nitelikte. Ele geçirilen veriler arasında şunlar yer alıyor:
- Tam İsimler ve Kullanıcı Adları: Hedefin kimliğini netleştiren temel bilgiler.
- Doğrulanmış E-posta Adresleri: Kimlik avı saldırıları için birincil hedef.
- Telefon Numaraları: SMS dolandırıcılığı ve SIM değiştirme saldırıları için kritik veri.
- Kullanıcı Kimlikleri (User ID): Hesabın veritabanındaki benzersiz kimliği.
- Ülke ve Kısmi Konum Verileri: Hedefli saldırılar için coğrafi bilgi.
Veri örneklerine ait ekran görüntüleri, bu alanların geçerliliğini doğruluyor ve siber suçluların eline geçen yapılandırılmış kişisel detaylar listesini gözler önüne seriyor. CyberInsider’ın analizi, verilerin “API yanıtlarına özgü yapılandırılmış JSON alanlarına sahip girişler” içerdiğini, ancak sızıntının kesin nedenine dair net bir işaret bulunmadığını belirtiyor.
Pasif Tehditten Aktif Saldırıya: Şifre Sıfırlama Dalgası
Bu veri ihlali, sadece bir veritabanında duran pasif bir tehdit olmaktan çıkıp aktif bir istismara dönüşmüş durumda. Verilerin yayınlanmasının hemen ardından, çok sayıda Instagram kullanıcısı, kendilerinin talep etmediği şifre sıfırlama bildirimleri aldıklarını rapor etmeye başladı.
Siber güvenlik firması Malwarebytes, kullanıcıların gelen kutularına düşen sahte şifre sıfırlama istekleri konusunda uyardı. Reddit üzerindeki bazı kullanıcılar da son günlerde aldıkları bu beklenmedik bildirimlerin ekran görüntülerini paylaşarak raporları doğruladı. Bu durum, saldırganların sızdırılan e-posta ve kullanıcı adlarını kullanarak hesapları ele geçirmeye çalıştığının en somut göstergesi.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Her ne kadar sızıntının doğrudan şifreleri içerdiği görülmese de, e-posta ve telefon numaralarının kombinasyonu, “SIM Swapping” (SIM kart kopyalama/değiştirme) saldırıları ve sofistike sosyal mühendislik yöntemleri için yeterli malzeme sunuyor. Dolandırıcılar, Instagram destek ekibi gibi davranarak veya ifşa olan kişisel detayları kullanarak güven tesis edip, kurbanları iki faktörlü kimlik doğrulama (2FA) kodlarını veya giriş bilgilerini vermeye ikna edebilirler.
Bu olay, Instagram’ın çekirdek sunucularına yapılan doğrudan bir saldırıdan ziyade, “Scraping” (kazıma) olarak sınıflandırılıyor; yani verilerin halka açık arayüzler üzerinden otomatik olarak toplanması. Ancak “API Sızıntısı”nın ölçeği, hız sınırlaması (rate-limiting) veya gizlilik korumalarında bir başarısızlık olduğunu ve aktörlerin milyonlarca hesabı tespit edilmeden sorgulayabildiğini düşündürüyor.
Instagram’dan “Sistem İhlali Yok” Açıklaması
Tüm bu iddialar ve kullanıcı paniği sürerken, Instagram cephesinden konuya ilişkin resmi bir açıklama geldi. Türkiye saati ile bu sabah (11 Ocak 2026) saat 07:00 sularında Instagram’ın resmi X (eski adıyla Twitter) hesabı üzerinden yapılan açıklamada, sistemlerinde bir veri ihlali yaşanmadığı savunuldu.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
— Instagram (@instagram) January 11, 2026
You can ignore those emails — sorry for any confusion.
Şirket açıklamasında şu ifadelere yer verdi:
“Harici bir tarafın bazı kişiler için şifre sıfırlama e-postaları talep etmesine izin veren bir sorunu düzelttik. Sistemlerimizde herhangi bir ihlal (breach) söz konusu değildir ve Instagram hesaplarınız güvendedir. Bu e-postaları görmezden gelebilirsiniz — kafa karışıklığı için özür dileriz.”
Meta çatısı altındaki Instagram’ın bu açıklaması, yaşanan şifre sıfırlama e-postası bombardımanını bir “hata” (bug) olarak kabul ederken, 17.5 milyonluk veri sızıntısı iddiasını dolaylı yoldan reddediyor. Ancak siber güvenlik uzmanlarının analiz ettiği Dark Web verileri ile Instagram’ın “hesaplarınız güvende” söylemi arasındaki çelişki, kullanıcıların zihnindeki soru işaretlerini gidermiş değil. İki veri seti (Solonik’in paylaştığı liste ve şifre sıfırlama hatasından etkilenenler) arasında henüz resmi bir bağlantı kurulmamış olsa da zamanlama manidar bulunuyor.
Geçmişteki Cezalar ve Güven Sorunu
Instagram’ın ana şirketi Meta, veri ihlalleri konusunda sicili pek de temiz olmayan bir geçmişe sahip. Engadget’ın da işaret ettiği üzere, platform 2022 yılında İrlanda veri koruma otoritesi tarafından bir dizi veri ihlali bildirimi nedeniyle 17 Milyon Euro (yaklaşık 18 milyon dolar) para cezasına çarptırılmıştı. Bu tür olayların tekrar etmesi, platforma olan güveni sarsmaya devam ediyor.
Uzmanlardan Acil Uyarı: Ne Yapmalısınız?
Meta’nın “endişe etmeyin” açıklamasına rağmen, siber güvenlik uzmanları 10 Ocak 2026 itibarıyla tüm Instagram kullanıcılarını tetikte olmaya çağırıyor. Malwarebytes ve diğer güvenlik otoriteleri, kullanıcıların hesaplarını korumak için aşağıdaki adımları derhal atmasını öneriyor:
- Şifrenizi Değiştirin: Olası bir risk durumunda, özellikle başka platformlarda da aynı şifreyi kullanıyorsanız, şifrenizi güçlü ve benzersiz bir kombinasyonla yenileyin.
- SMS Tabanlı 2FA Yerine Uygulama Kullanın: İki faktörlü kimlik doğrulama (2FA) için SMS yöntemini kullanmak, telefon numaralarının sızdırıldığı senaryolarda (SIM Swapping riski nedeniyle) güvenli değildir. Bunun yerine Google Authenticator, Microsoft Authenticator veya benzeri bir kimlik doğrulama uygulaması kullanın.
- Nasıl Yapılır? Instagram’da Profil > Menü > Hesaplar Merkezi > Şifre ve Güvenlik yolunu izleyerek İki Faktörlü Kimlik Doğrulama seçeneğini aktif hale getirin ve güvenlik yöntemi olarak “Kimlik Doğrulama Uygulaması”nı seçin.
- E-postaları Görmezden Gelin: Eğer siz talep etmediyseniz, gelen şifre sıfırlama e-postalarındaki bağlantılara asla tıklamayın.
Instagram ve siber korsanlar arasındaki bu “söz düellosu” devam ederken, en güvenli yol kişisel veri güvenliğinizi en üst düzeye çıkarmaktan geçiyor.
