Meta confirma invasao de 20 mil contas do Instagram via abuso de ferramenta de suporte com IA

A Meta confirmou que cerca de 20.225 contas do Instagram podem ter sido invadidas em maio entre os exploradas de uma falha na ferramenta interna de recuperacao de conta (High Touch Support, HTS), apoiada em IA. Entre as vitimas figuram perfis de alto perfil como o do Obama White House e o da Sephora. A vulnerabilidade permitia que um atacante recebesse o link de redefinicao de senha em um e-mail nao vinculado ao perfil — sem 2FA, o sequestro era imediato.

O que aconteceu

Em comunicacao oficial ao Maine Attorney General, a Meta revelou que sua equipe de High Touch Support, um sistema de atendimento alimentado por IA destinado a ajudar usuarios travados fora de suas contas, foi explorada por atacantes entre maio e junho de 2026. O bug foi descoberto em 31 de maio. Amber Hannah, advogada-geral associada de resposta a incidentes da empresa, escreveu que 20.225 usuarios estao na lista de potencialmente impactados — embora o numero real possa ser menor, por incluir usuarios que recuperaram a conta legitimamente.

Cibercriminosos chegaram a publicar tutoriais em forum e videos demonstrando o passo a passo do ataque, e contas roubadas foram listadas a venda em mercados da dark web. A lista de vitimas inclui perfis verificados, governamentais e corporativos — como o do US Space Force Chief Master Sergeant John Bentivegna.

Como o ataque funcionava

A vulnerabilidade nao estava no chatbot ou no modelo de IA em si — mas em um caminho de codigo paralelo que tratava do envio do link de redefinicao de senha. Segundo a Meta, o sistema deveria validar que o e-mail informado pelo solicitante batia com o e-mail vinculado a conta-alvo. Por causa de um bug, essa verificacao nao acontecia: o link de redefinicao era enviado para qualquer endereco passado, mesmo que nao estivesse vinculado ao perfil.

Na pratica, qualquer um podia abrir um chamado de suporte na HTS, informar o handle de uma conta-alvo do Instagram, apontar o proprio e-mail e receber um link de reset. Apos clicar, o atacante definia nova senha e tomava controle do perfil. Contas sem 2FA habilitado eram as mais expostas — e a maior parte dos perfis pessoais ainda nao usa autenticacao em dois fatores.

“Devido a um bug em um caminho de codigo separado, o sistema nao verificava corretamente se o endereco de e-mail fornecido pelo solicitante combinava com aquele associado a conta. Como resultado, links de redefinicao eram enviados a enderecos nao autorizados.”

Amber Hannah, Meta, em comunicacao ao Maine AG

Quem e afetado

• 20.225 contas do Instagram identificadas como potencialmente comprometidas pela Meta entre maio e junho de 2026.
• Contas de alto perfil: Obama White House, Sephora, militares dos EUA e celebridades. Em muitos casos, o sequestro foi seguido de venda do perfil em foruns clandestinos.
• Usuarios sem 2FA habilitado: a Meta confirmou que o universo afetado se concentra exatamente nesse grupo — autenticacao em dois fatores teria barrado o sequestro mesmo apos o reset.
• Dados expostos: informacoes de perfil, e-mails, telefones, data de nascimento, mensagens diretas, posts e historico de interacao podem ter sido acessados.

Analise

O incidente ilustra um padrao que vem ganhando forma em 2025-2026: ferramentas de IA implantadas em fluxos de atendimento de redes sociais e gigantes de SaaS sao tratadas como “vias rapidas” para usuarios — e exatamente por isso viram alvos preferenciais. Em outubro do ano passado, atacantes abusaram de chatbots de suporte para vazar dados de clientes corporativos; em 2025, o mesmo padrao foi visto contra a Microsoft (com bots de Copilot mal configurados) e contra carriers de telecom nos EUA.

O caso da Meta tem uma camada extra de ironia: o bug nao estava na IA, mas em um caminho legado de codigo que sequer fazia parte do “produto inteligente” exposto ao usuario. Equipes de produto, quando lancam fluxos de IA, costumam testar o modelo intensivamente — mas os caminhos auxiliares (envio de e-mail, fila de jobs, etc.) recebem menos atencao em modelagem de ameaca. E ali que o atacante encontra o caminho de menor resistencia.

Para o Brasil, o impacto direto e modesto — mas o sinal e claro: quem mantem contas profissionais ou de marca no Instagram esta sujeito ao mesmo modelo de risco. E a baixa adocao de 2FA nas redes sociais (especialmente fora das contas verificadas) torna o pais um candidato para a proxima onda de ataques similares contra brindes equivalentes em outras plataformas.

Recomendacoes praticas

• Habilite 2FA em todas as contas do Instagram — de preferencia via app autenticador (Aegis, Authy, Google Authenticator) e nao SMS.
• Para marcas e perfis verificados: ative o Meta Business Suite com aprovacao multi-pessoa para mudancas sensitivas.
• Revise os e-mails e numeros de recuperacao associados a sua conta — remova qualquer endereco que nao esteja sob seu controle direto.
• Monitore sessoes ativas em Settings > Security > Login activity e desconecte dispositivos desconhecidos.
• Para equipes de seguranca corporativa: trate contas oficiais de redes sociais como ativos criticos no inventario, com playbook de recuperacao documentado.
• Em programas de bug bounty internos, inclua fluxos de suporte e ferramentas de atendimento (sejam ou nao baseadas em IA) entre os alvos prioritarios — eles operam fora do raio de visao usual da equipe de seguranca de produto.

Fonte: SecurityWeek