Trong một thông báo trên mạng xã hội X vào ngày Chủ nhật (11/1/2026), Instagram đã làm rõ nguyên nhân của làn sóng email "lạ" vừa qua. Theo đó, một thực thể bên ngoài đã lợi dụng lỗ hổng kỹ thuật để gửi hàng loạt yêu cầu đặt lại mật khẩu tới người dùng mà không cần thông qua sự xác nhận của chủ tài khoản.

"Chúng tôi đã khắc phục sự cố cho phép một bên bên ngoài gửi yêu cầu đổi mật khẩu tới một số tài khoản. Không có vụ xâm nhập hệ thống nào xảy ra và tài khoản Instagram của các bạn vẫn an toàn. Người dùng có thể lờ đi những email đó. Chúng tôi thành thật xin lỗi vì sự nhầm lẫn này", phía Instagram tuyên bố.

Động thái đính chính của Meta diễn ra sau khi người dùng toàn cầu đồng loạt báo cáo việc nhận được email yêu cầu đặt lại mật khẩu một cách bất thường, làm dấy lên nghi vấn về một vụ hack hệ thống.

Đáng chú ý, hãng bảo mật danh tiếng Malwarebytes trước đó đã đăng tải một cảnh báo trên nền tảng Bluesky, khẳng định thông tin nhạy cảm của hơn 17,5 triệu người dùng đã bị đánh cắp và đang được rao bán trên dark web.

Theo Malwarebytes, tập dữ liệu bị đánh cắp bao gồm: tên đăng nhập, địa chỉ thực tế, số điện thoại, địa chỉ email và nhiều thông tin cá nhân khác. Công ty này cảnh báo rằng tội phạm mạng có thể lợi dụng những thông tin này để thực hiện các hành vi lừa đảo tinh vi.

Đây không phải lần đầu tiên Meta đối mặt với những nghi vấn về bảo mật. Vào năm 2021, Facebook từng thừa nhận thông tin của hơn 530 triệu người dùng đã bị phơi bày. Tuy nhiên, công ty khi đó khẳng định đây không phải là một vụ tấn công mạng (hack) mà là kết quả của việc "thu thập dữ liệu trái phép" (scraping) từ những hồ sơ công khai của người dùng.

Tình trạng này không chỉ xảy ra với Meta. Các nền tảng mạng xã hội lớn khác như X (trước đây là Twitter) và LinkedIn cũng từng báo cáo các sự cố tương tự vào năm 2018 và 2021, gây ảnh hưởng đến tổng cộng hàng tỷ người dùng trên toàn cầu.

Lệ Thanh (theo The Economic Times)