Cât de important este 2FA și de ce ar trebui să-l activezi acum. Contul meu de Instagram a fost spart în câteva minute
Autentificarea cu doi factori pare una dintre acele setări pe care le lași „pentru mai târziu”. Presupui că parola ta este suficient de complicată, că nu ai un cont atât de important încât să atragă atenția hackerilor sau că ție pur și simplu nu ți se poate întâmpla. Exact așa am privit și eu lucrurile, până când am deschis Instagram în timp ce stăteam la coadă în Kaufland și am văzut cum de pe contul meu plecau mesaje către zeci de persoane necunoscute.
Totul s-a petrecut în numai câteva minute. Nu am primit un avertisment suficient de evident înainte, nu mi-a dispărut accesul la cont și nici aplicația nu părea blocată. Eram încă autentificată, dar altcineva îmi folosea simultan profilul. A fost momentul în care am înțeles că autentificarea cu doi factori pe Instagram nu este o setare rezervată experților în securitate, ci una pe care ar trebui să o activezi înainte să ai nevoie de ea.
Ce este 2FA și de ce parola nu mai este suficientă
2FA este prescurtarea de la „two-factor authentication”, adică autentificare cu doi factori. În mod normal, pentru a intra într-un cont introduci o adresă de e-mail sau un nume de utilizator și o parolă. Cu 2FA activat, parola nu mai este suficientă. Serviciul îți cere și o a doua dovadă că ești proprietarul contului, cum ar fi un cod generat de o aplicație, un cod primit prin SMS, o confirmare pe un dispozitiv cunoscut sau o cheie fizică de securitate.
Ideea este simplă: chiar dacă un atacator îți află parola, mai are nevoie și de cel de-a doua metodă prin care să intre în contul tău. Meta explică faptul că Instagram solicită un cod suplimentar atunci când detectează o încercare de conectare de pe un dispozitiv pe care nu îl recunoaște. În plus, după activarea funcției poți vedea solicitările de conectare, poți elimina dispozitivele considerate de încredere și poți folosi coduri de rezervă dacă îți pierzi telefonul.
O parolă poate ajunge la altcineva în mai multe moduri. Poate fi reutilizată pe un site care ulterior suferă o breșă de securitate, poate fi introdusă pe o pagină falsă de autentificare sau poate fi interceptată printr-o aplicație malițioasă. Asta nu înseamnă că pot spune cu certitudine cum a fost compromis contul meu. Capturile de ecran arată ce s-a întâmplat după accesarea lui, nu și metoda prin care atacatorul a obținut parola.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/07/WhatsApp-Image-2026-07-13-at-8.10.44-AM-264x575.jpeg)
Foto: Ozana Mazilu (Playtech)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/07/WhatsApp-Image-2026-07-13-at-8.10.44-AM-3-264x575.jpeg)
Foto: Ozana Mazilu (Playtech)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/07/WhatsApp-Image-2026-07-13-at-8.10.44-AM-1-264x575.jpeg)
Foto: Ozana Mazilu (Playtech)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/07/WhatsApp-Image-2026-07-13-at-8.10.44-AM-2-264x575.jpeg)
Foto: Ozana Mazilu (Playtech)
Tocmai de aceea este important să știi ce este phishingul și cum te poți proteja, dar și să folosești parole diferite pentru fiecare serviciu. Dacă aceeași parolă este utilizată pentru Instagram, e-mail și alte platforme, compromiterea unui singur cont poate produce un efect de domino.
Unde și cum ar trebui să folosești autentificarea cu doi factori
2FA ar trebui activat în primul rând pentru adresa principală de e-mail. E-mailul este cheia prin care îți resetezi parolele pentru majoritatea celorlalte conturi. Dacă cineva intră în el, poate încerca să preia accesul la Instagram, Facebook, magazine online, servicii cloud și chiar la unele platforme financiare.
Următoarele pe listă sunt rețelele sociale, conturile de serviciu, aplicațiile de mesagerie, serviciile de stocare în cloud, magazinele online și managerul de parole. Practic, activează autentificarea suplimentară oriunde platforma îți oferă această posibilitate. CISA, agenția americană pentru securitate cibernetică, subliniază că parolele puternice nu mai sunt suficiente atunci când sunt folosite singure și recomandă autentificarea multifactor pentru protejarea conturilor și a datelor.
Pe Instagram, intră în profil, deschide meniul, apoi mergi în Accounts Center – Password and security – Two-factor authentication și selectează contul dorit. Denumirile pot varia ușor în funcție de versiunea aplicației și de limba folosită. Meta oferă trei variante principale: aplicație de autentificare, cod prin SMS și cod prin WhatsApp. Compania recomandă folosirea unei aplicații de autentificare, precum Google Authenticator sau Duo Mobile.
Aplicația de autentificare este, în general, o alegere mai bună decât SMS-ul. Ea generează local un cod temporar care se schimbă periodic, fără să depindă de rețeaua mobilă. SMS-ul rămâne mai bun decât lipsa completă a 2FA, dar numerele de telefon pot fi vizate prin atacuri de tip SIM swap. De aceea, pentru conturile importante, alege aplicația de autentificare sau o cheie de securitate atunci când serviciul permite acest lucru. CISA consideră cheile de securitate bazate pe standardele FIDO/WebAuthn cea mai puternică opțiune disponibilă pe scară largă împotriva phishingului. Poți afla mai multe și despre riscurile asociate cu SIM swap și eSIM.
După configurare, salvează codurile de rezervă într-un loc sigur, separat de telefon. Nu le păstra într-un screenshot neprotejat în galerie și nu le trimite prin mesaje. Aceste coduri îți permit să reintri în cont dacă îți pierzi dispozitivul sau nu mai poți accesa aplicația de autentificare.
Cum am descoperit că altcineva îmi folosea contul de Instagram
Acum, să detaliez și cum s-a întâmplat totul. Așadar, săptămâna trecută eram în Kaufland și așteptam la coadă să plătesc. Am intrat pe Instagram, probabil din reflex, și am deschis zona de mesaje. Acolo am observat ceva complet neobișnuit: în inbox apăruseră numeroase conversații cu persoane pe care nu le urmăream și cu care nu mai vorbisem niciodată.
Lângă fiecare nume scria că un mesaj fusese trimis cu un minut, două sau trei minute în urmă. Nu era vorba despre o singură conversație deschisă din greșeală. În numai câteva minute, același mesaj fusese expediat către o listă lungă de conturi străine. Capturile de ecran arată mesajele trimise către Guillermo Asuaje, Abelardo Pelaez, Dejuan Johnson, Eduardo Boer, Michael F și multe alte persoane.
Textul era în limba engleză și pretindea că o prietenă tocmai se mutase în zonă, că Tinder fusese un dezastru pentru ea și că expeditorul încerca să îi găsească pe cineva. La final era introdus un cont de Snapchat. Era un mesaj construit astfel încât să pară spontan și personal, dar fusese distribuit automat sau aproape automat către numeroși utilizatori.
Partea stranie era că eu încă aveam acces la cont. Nu fusesem delogată, parola nu părea schimbată, iar profilul meu era vizibil în mod normal. Dacă nu aș fi intrat chiar atunci în mesaje, probabil atacatorul ar fi continuat să contacteze oameni în numele meu. Persoanele respective puteau crede că eu le trimisesem mesajul, iar unele ar fi putut accesa profilul de Snapchat sau eventuale linkuri trimise ulterior.
Dispozitivul „China Mobile” și autentificarea din Pitești
Am intrat imediat în secțiunea dedicată activității de conectare. Acolo apărea telefonul meu, Motorola Edge 70 Fusion, localizat în București și marcat drept „This device”. Sub el exista însă o a doua conectare, pe un dispozitiv afișat cu denumirea „China Mobile”, asociată cu Pitești și realizată cu aproximativ șapte ore înainte.
Nu cunosc acel dispozitiv și nu mă aflam în Pitești. Am selectat sesiunea și am apăsat imediat pe „Log out”. Capturile arată atât dispozitivul suspect, cât și ecranul prin care acesta a fost selectat pentru deconectare.
Totuși, informația nu demonstrează că atacatorul se afla fizic în Pitești și nici că era din China. Denumirea dispozitivului poate proveni din modul în care acesta sau software-ul său s-a identificat, iar localizarea este estimată pe baza adresei IP. Meta precizează că, în cazul conexiunilor mobile, traficul poate fi direcționat printr-o adresă IP care nu reflectă locația reală a utilizatorului. Un VPN sau infrastructura operatorului poate produce, de asemenea, o localizare diferită.
Ceea ce conta în acel moment nu era să aflu cu precizie unde se afla persoana, ci să opresc accesul. Un dispozitiv pe care nu îl recunoști trebuie tratat ca suspect, indiferent dacă locația indicată este Pitești, București sau altă țară. Instagram îți permite să vezi lista dispozitivelor conectate și să le deloghezi dacă nu recunoști activitatea.
Ce am făcut imediat și ce am învățat din această experiență
Primul pas a fost să închid sesiunea suspectă. Pentru siguranță, am ales să mă deloghez de pe toate dispozitivele, nu doar de pe cel numit „China Mobile”. Astfel, orice sesiune activă care ar fi putut rămâne deschisă trebuia să se autentifice din nou.
Apoi am schimbat parola. Am ales una nouă, diferită de parolele folosite pentru alte servicii. Dacă ai reutilizat parola contului compromis, schimb-o imediat și pe celelalte platforme unde ai folosit-o. Începe cu e-mailul asociat contului, deoarece accesul la căsuța poștală poate fi folosit pentru resetarea parolelor.
Următorul pas a fost activarea 2FA. Am verificat și dacă adresa de e-mail, numărul de telefon și celelalte informații asociate contului nu fuseseră modificate. Meta recomandă, în cazul unui cont posibil compromis, schimbarea parolei, activarea autentificării cu doi factori, verificarea datelor de contact și eliminarea conturilor sau aplicațiilor conectate pe care nu le recunoști.
Am șters și mesajele pe care le-am putut elimina și am urmărit activitatea contului pentru a vedea dacă mai apar conversații sau autentificări suspecte. Dacă atacatorul trimite mesaje persoanelor din lista ta, anunță-le să nu acceseze linkuri, să nu trimită bani și să nu ofere coduri de verificare. Asta am făcut și eu – am postat imediat un Story în care am anunțat asta.
2FA nu face un cont imposibil de compromis. Nu te protejează dacă îi oferi cuiva chiar tu codul de autentificare, dacă aprobi o solicitare necunoscută sau dacă un atacator reușește să fure o sesiune deja activă. Dar adaugă o barieră esențială și transformă o parolă furată dintr-o cheie completă într-o singură piesă a puzzle-ului.
În cazul meu, am avut noroc că am observat mesajele în timp real și că încă puteam controla contul. Experiența a durat doar câteva minute, dar a fost suficientă pentru ca numele și fotografia mea să fie folosite într-o campanie de mesaje nesolicitate. Lecția este simplă: nu aștepta să vezi mesaje trimise în numele tău pentru a activa 2FA. Fă-o acum, cât încă tu ești singura persoană care îți folosește contul.