ביממה האחרונה החלו משתמשי אינסטגרם ברחבי העולם - וגם בישראל - לדווח על תופעה מטרידה: מיילים רשמיים מאינסטגרם, המודיעים על בקשה לשחזור סיסמה, למרות שהמשתמשים עצמם לא יזמו שום פעולה כזו. עבור רבים מדובר היה ברגע של בלבול או חשד לניסיון הונאה נקודתי, אך ככל שעוברות השעות מתברר שמדובר בגל רחב, חוצה מדינות, שעשוי להיות קשור ישירות לדליפת מידע גדולה שנחשפה לאחרונה וכוללת נתונים של כ-17.5 מיליון חשבונות אינסטגרם. מאחר שמדובר בדליפה גלובלית, הכוללת כתובות מייל ומספרי טלפון בינלאומיים, גם משתמשים ישראלים נמצאים בתוך מעגל החשיפה.
הדיווחים על המיילים החלו להצטבר בתוך שעות, כאשר משתמשים רבים מספרים כי קיבלו הודעה זהה כמעט לחלוטין, שנשלחה ממערכות אינסטגרם הרשמיות. לא מדובר בהודעות מתחזות או בניסיונות פישינג קלאסיים, אלא בפעולה אמיתית שמתבצעת דרך מנגנון איפוס הסיסמה של הרשת החברתית. המשמעות היא שמישהו, שאינו בעל החשבון, יזם בפועל בקשה לשחזור סיסמה - פעולה שמתאפשרת כאשר ברשותו כתובת המייל או פרטי הקשר של המשתמש.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
בגוף המייל נכתב: "קיבלנו בקשה לאפס את הסיסמה שלכם", ומתחת לטקסט מופיע כפתור ברור עם הכיתוב "איפוס סיסמה" (Reset password). בתחתית ההודעה מצוין: "אם תתעלמו מהמייל הזה, הסיסמה שלכם לא תשתנה. אם לא ביקשתם שינוי סיסמה - תיידעו אותנו".
הניסוח התקני והעיצוב המוכר של אינסטגרם מקשים על משתמשים להבין אם מדובר באירוע שגרתי או בסימן לאיום ממשי. כאן נכנסת לתמונה חברת האבטחה Malwarebytes, שמזהירה כי תוקפים צפויים לנצל את המידע שדלף להתקפות התחזות, קמפיינים של דיוג (פישינג) וניסיונות לאיסוף פרטי הזדהות, במיוחד באמצעות ניצול מנגנון איפוס הסיסמה של אינסטגרם - כדי להשיג גישה לחשבונות משתמשים. לפי החברה, זהו לא תרחיש עתידי אלא תהליך שכבר מתרחש בפועל.
לפי הממצאים, המאגר שדלף מופץ בימים אלה בפורומי האקרים וכולל שמות משתמש, שמות מלאים, כתובות דוא"ל, מספרי טלפון ופרטי קשר נוספים. מקור הדליפה מיוחס לפרצת API שאירעה במהלך 2024, וב-7 בינואר 2026 פורסם המאגר על ידי גורם בשם Solonik בפורום BreachForums.
מטא, החברה האם של אינסטגרם, טרם פרסמה התייחסות רשמית לאירוע, אך עבור משתמשים רבים בישראל ובעולם, גל המיילים האחרון הוא תזכורת מוחשית לכך שדליפת מידע אחת יכולה להפוך בתוך זמן קצר לאיום יומיומי.
מה עליכם לעשות?
לצד האזהרה, ב-Malwarebytes מפרסמים גם המלצות ברורות למי שקיבל את המייל. ראשית, אם לא יזמתם את הבקשה - לא ללחוץ על כפתור איפוס הסיסמה מתוך ההודעה. במקום זאת, מומלץ להיכנס ידנית לאינסטגרם דרך האפליקציה או האתר, לבדוק שאין פעילות חריגה בחשבון, ולהחליף סיסמה ביוזמתכם. בנוסף, מומלץ להפעיל אימות דו-שלבי, לוודא שכתובת המייל ומספר הטלפון המשויכים לחשבון מעודכנים ונמצאים בשליטתכם, ולהיות ערניים למיילים או הודעות נוספות שמבקשות אימות או פרטים אישיים.