Falha permitiu que criminosos redefinissem senhas e assumissem o controle de perfis sem autenticação de dois fatores ativada.
A Meta confirmou que mais de 20 mil contas do Instagram foram comprometidas após criminosos explorarem uma falha em um sistema de suporte com inteligência artificial utilizado para recuperação de acesso.
O problema estava na ferramenta chamada High Touch Support (HTS), criada para ajudar usuários que perderam acesso às suas contas. De acordo com a empresa, uma vulnerabilidade permitia que invasores solicitassem a redefinição de senha utilizando endereços de e-mail que não pertenciam aos verdadeiros donos das contas.
- Vazamento expõe dados de login de 16 bilhões de usuários
- Meta processa aplicativo que remove roupa de pessoas com IA
Na prática, o sistema enviava links de redefinição de senha para e-mails informados pelos criminosos sem validar corretamente se aqueles endereços estavam vinculados ao perfil alvo. Com isso, os invasores conseguiam alterar a senha e assumir o controle das contas que não possuíam autenticação em dois fatores (2FA) ativada.
A Meta informou que identificou a falha em 31 de maio de 2026 e agiu imediatamente para interromper os ataques. A empresa desativou temporariamente o sistema HTS, invalidou todos os links de redefinição gerados e iniciou um processo de proteção para as contas afetadas.
Um ataque sofisticado
Os usuários impactados foram obrigados a redefinir suas senhas e passar por novas etapas de verificação para recuperar o acesso. Segundo a companhia, cerca de 20.225 contas foram comprometidas durante o incidente. Vale destacar que a Mídia Segura recebeu um email oficial do Instagram para uma de nossas contas de testes solicitando a redefinição de senha. Imediatamente percebemos que tratava-se de uma tentativa de invasão da conta — o que neste caso, foi sem sucesso.
Embora a Meta afirme não ter confirmação sobre quais dados foram acessados pelos invasores, existe a possibilidade de exposição de informações como e-mails, números de telefone, datas de nascimento, mensagens privadas, fotos, vídeos, histórico de atividades e dados de perfis conectados.
A empresa também anunciou que corrigirá o mecanismo de validação do processo de recuperação de contas antes de reativar a ferramenta e realizará uma revisão completa de sistemas semelhantes em outras plataformas do grupo.
O incidente reforça a importância da autenticação em dois fatores, considerada uma das principais barreiras contra invasões de contas, mesmo quando ocorre uma falha nos sistemas de recuperação de acesso. Além disso, evite usar senhas muito fáceis e curtas.
Com informações: BleepingComputer
