17 miljoonasta Instagram-käyttäjästä leviää tietoja, ota kaksivaiheinen tunnistautuminen käyttöön
OOtsikot

17 miljoonasta Instagram-käyttäjästä leviää tietoja, ota kaksivaiheinen tunnistautuminen käyttöön

  • 12.01.2026

Tapaukseen liittyy paljon epäselvyyksiä, mutta käyttäjien on syytä tehdä yksi asia viimeistään nyt.

Lue tiivistelmä

Noin 17 miljoonaa Instagram-käyttäjän tietoja on kerätty luvatta ja niitä saatetaan nyt käyttää huijauksiin.

Suomessa tämä voi koskea jopa 17 500 käyttäjää, joiden nimiä, paikkatietoja, sähköpostiosoitteita ja puhelinnumeroita on kaapattu.

Tietoturvan asiantuntija Kimmo Rousku sanoo, että tiedoilla voidaan tehdä kalasteluviestejä ja profiloida ihmisiä.

Kaikkien Instagram-käyttäjien kannattaa aktivoida kaksivaiheinen tunnistautuminen, joka estää tunkeutujia pääsemästä tilille pelkällä salasanalla.

Noin 17 miljoonaa Instagram-käyttäjää on joutunut vaaraan. Heistä on kerätty tietoja, joita on nyt alettu mahdollisesti käyttää väärin.

Asialla saattaa olla yhteys siihen, että monet Instagram-käyttäjät ovat saaneet viime päivinä palvelun aidosta osoitteesta sähköpostia, jossa näiden sanotaan pyytäneen salasanan vaihtoa.

Instagramin mukaan kyseessä oli ohjelmistovirhe, joka päästi ulkopuoliset lähettämään salasananvaihtosähköposteja osalle käyttäjiä. Virhe on korjattu, ja viestit voi jättää huomiotta.

Käyttäjätiedot on kerätty kaapimalla, eli käyttämällä väärin Instagramin sisäisiä palveluita. Itse järjestelmiin ei ole murtauduttu.

Tietojen joukossa on käyttäjänimiä ja -tunnisteita, nimiä, paikkatietoja, sähköpostiosoitteita ja puhelinnumeroita.

Joissakin yhteyksissä puhutaan enimmillään 17,5 miljoonasta käyttäjästä. Se vastaa noin 0,7 prosenttia Instagramin noin 2,5 miljardista käyttäjästä. Suomeen suhteutettuna tämä vastaa jopa jopa 17 500 tiliä, joista tietoja on kaavittu.

Tutkija Chiara Gallesen tulkinnan mukaan kyse on vanhan vuodon kaupallisesta hyödyntämisestä.

– Se oli piilevä hiljainen vika, johon ei kiinnitetty huomiota, kunnes joku alkoi tehdä sillä rahaa, Gallese kirjoittaa LinkedInissä.

On epäselvää, kuinka tuoreesta kaavinnasta on kyse. CyberInsiderin mukaan tiedot näyttävät olevan peräisin vuodelta 2024. Bleeping Computer -uutispalvelun mukaan on viitteitä siitä, että tiedot saattavat olla kokoelma aiemmista ja usean vuoden varrella eri lähteistä kerätyistä tiedoista.

Datayritys District 4 Labs puolestaan on vakuuttunut, että tiedot ovat peräisin vuonna 2022 tapahtuneesta kaavinnasta.

Lue myös: Kaikkien käyttäjien syytä pitää varansa – Instagram-murrosta tulossa painajainen

Vaikka tiedot olisivat vanhoja, niiden avulla voidaan yrittää murtaa käyttäjätilejä niiden salasanoja koneellisesti väkisin arvaamalla. Siksi jokaisen käyttäjän on syytä aktivoida kaksivaiheinen tunnistautuminen viimeistään nyt.

– Salasanat eivät vuotaneet, mutta kokonaisuus riittää kalasteluviestien (phishing), huijausviestien (scam) ja sosiaalisen manipuloinnin pohjaksi. Lisäksi yhdistelemällä automaattisesti vaikkapa tekoälyn avulla, voidaan henkilöitä profiloida entistä yksityiskohtaisemmalla tasolla, tietoturvan asiantuntija Kimmo Rousku sanoo LinkedInissä.

Kaksivaiheinen tunnistautuminen (2FA) tarkoittaa, että tilille kirjautuminen edellyttää ylimääräistä vahvistusta pelkän salasanan lisäksi. Instagramissa aktivoit toiminnon näin:

Napauta Instagramin profiilikuvaasi oikeassa alakulmassa, valitse oikean yläkulman kolme vaakaviivaa ja sitten paina Asetukset > Turvallisuus > Kaksivaiheinen todennus.

Voit myös varmistaa Instagramin sinulle lähettämät oikeat viestit polussa Asetukset > Turvallisuus > Sähköpostit Instagramilta.

FAKTA

Kaksivaiheinen tunnistautuminen

  • Puhutaan myös kaksivaiheisesta tunnistuksesta, monivaiheisesta tunnistautumisesta tai 2FA:sta (two-factor authentication).

  • Tarkoittaa sitä, että pelkkä sähköposti/käyttäjätunnus ja salasana eivät riitä sisäänkirjautumiseen, vaan kirjautuminen on vahvistettava erikseen. Tämä estää tunkeutujaa pääsemästä käyttäjätilille, vaikka hän tietäisi salasanan.

  • Suuri osa nettipalveluista tukee kaksivaiheista tunnistautumista, mutta se on otettava erikseen käyttöön.

  • Ei ole sama asia kuin vahva tunnistautuminen. Jälkimmäinen tarkoittaa sitä, että kirjautuminen tapahtuu käyttäjän henkilöllisyyden vahvistavalla tavalla kuten pankkitunnuksin tai mobiilivarmenteella.

  • Yleensä vahvistus tehdään puhelimella. Joskus käytetään myös erillisiä tunnistuslaitteita.

  • Vahvistus on usein sisäänkirjautumisessa syötettävä koodi, joka tulee tekstiviestitse tai tunnistussovelluksen kautta. Toinen vaihtoehto on sisäänkirjautumisen hyväksyminen sovelluksessa.

  • Tunnistussovelluksia ovat esimerkiksi OP:n Mobiiliavain, Nordea ID, Microsoft Authenticator ja Google Authenticator.

Tämä kannattaa tehdä muissakin palveluissa aina, kun mahdollista. Mutta se ei kuitenkaan estä tietojen kaapimista. Tutkija Gallese pitää sitä rakenteellisena ongelmana, joka liittyy varsinkin Metan omistamien sosiaalisen median palvelujen pyrkimykseen kerätä käyttäjistään mahdollisimman paljon tietoa.

– Tällaista tapahtuu jatkoissakin, kunnes yritykset laitetaan vastuuseen ei vain tietomurroista, vaan myös tarpeettomasta tietojenkeruusta ja turvattomista rajapinnoista, Gallese sanoo.

Omien tietojensa vuotamista voi tarkastella luotetussa palvelussa Have I Been Pwned. Myös suomalainen tietoturvayritys F-Secure tarjoaa vastaavaa palvelua.