A Meta confirmou que mais de 20 mil contas do Instagram foram invadidas após uma falha num sistema de recuperação de contas com inteligência artificial. O problema permitiu que atacantes recebessem links de redefinição de palavra-passe para contas que não lhes pertenciam.
Segundo a empresa, 20.225 utilizadores do Instagram foram afetados pelo incidente, conforme reportou o Bleeping Computer. A falha envolveu a ferramenta High Touch Support, um sistema de suporte assistido por IA usado para ajudar as pessoas a recuperar o acesso às suas contas. A Meta afirma que o problema já foi resolvido e que está a proteger as contas afetadas.
Falha permitia redefinir palavras-passe de outras contas
De acordo com a explicação enviada pela Meta ao Gabinete do Procurador-Geral do Maine, a ferramenta de suporte funcionava corretamente. O problema estava num segmento separado de código, que não verificava devidamente se o e-mail indicado no pedido de recuperação estava realmente associado à conta do Instagram.
Na prática, isto permitia que uma pessoa mal-intencionada pedisse a redefinição de palavra-passe de uma conta e recebesse o link num e-mail próprio, mesmo que esse endereço nunca tivesse pertencido ao perfil atacado.
Depois de redefinir a palavra-passe, o invasor conseguia entrar na conta caso o utilizador não tivesse a autenticação de dois fatores ativada. Esta camada extra de segurança exige uma segunda confirmação além da palavra-passe e poderia ter impedido parte dos acessos indevidos.
Incidente começou em abril
A Meta descobriu a vulnerabilidade no dia 31 de maio de 2026. No entanto, o documento publicado nos Estados Unidos indica que a violação ocorreu a 17 de abril, que terá sido a data do primeiro ataque conhecido a explorar a falha.
Após vários relatos de utilizadores nas redes sociais, Andy Stone, vice-presidente de comunicações da Meta, afirmou que o problema tinha sido resolvido e que a empresa estava a proteger as contas afetadas.
A Meta não especificou exatamente que dados pessoais foram acedidos ou roubados. Ainda assim, a empresa admite que os invasores podem ter tido acesso a informações como e-mail, número de telefone, data de nascimento, publicações, fotografias, vídeos, stories, mensagens diretas, histórico de atividade, biografia, fotografia de perfil e contas ou serviços associados.
Meta desativou sistema de suporte com IA
Após identificar o problema, a Meta desativou o sistema de suporte com IA da High Touch Support e todos os links de redefinição de palavra-passe gerados pela ferramenta.
A empresa também colocou as contas potencialmente comprometidas num processo obrigatório de verificação de segurança. Os utilizadores afetados tiveram de redefinir as palavras-passe e autenticar-se novamente para recuperar o controlo dos perfis.
Antes de reativar a ferramenta, a Meta diz que vai corrigir a verificação de autenticação no processo de recuperação do Instagram. O objetivo é garantir que qualquer e-mail usado para redefinir uma palavra-passe seja realmente comparado com os dados existentes da conta.
A empresa também está a rever fluxos semelhantes de recuperação de conta noutras plataformas da Meta, para identificar e corrigir possíveis problemas do mesmo tipo.
Ativar a autenticação de dois fatores é essencial
O caso mostra a importância de ativar a autenticação de dois fatores no Instagram. Mesmo que a palavra-passe seja redefinida por um atacante, esta proteção adiciona uma barreira extra antes de permitir o acesso à conta.
Também é recomendável verificar se o e-mail e o número de telefone associados ao perfil estão corretos, usar palavras-passe fortes e desconfiar de qualquer alerta inesperado de alteração de dados.
Para quem recebeu avisos da Meta ou notou atividade estranha no perfil, o mais seguro é alterar a palavra-passe, encerrar sessões desconhecidas e ativar a autenticação de dois fatores o quanto antes.
Vê também: 5 dicas a ter em conta para melhorar a tua Segurança na Internet
