A Meta revelou em 8 de junho de 2026 que 20.225 contas do Instagram foram roubadas por hackers que exploraram uma falha no High Touch Support (HTS), o assistente de inteligência artificial que a empresa usa para ajudar usuários trancados fora da própria conta. O ataque durou 44 dias, e a única barreira que impediu a invasão total foi a autenticação em duas etapas (2FA) — que a maioria dos brasileiros ainda não ativou.

Resumo: pontos-chave

  • O quê: falha no HTS, ferramenta de IA da Meta para recuperação de contas, enviava links de redefinição de senha para e-mails de atacantes em vez de validar o dono real.
  • Quando: primeiro ataque confirmado em 17 de abril de 2026; Meta detectou o abuso apenas em 31 de maio — 44 dias de janela aberta.
  • Escala: 20.225 contas comprometidas globalmente; sem 2FA, a conta caía por inteiro.
  • Status: Meta desativou o HTS, inscreveu as vítimas em verificação obrigatória e prometeu corrigir a checagem de propriedade do e-mail antes de reativar a ferramenta.

A falha invisível do HTS

O High Touch Support é um sistema interno da Meta, acionado quando o fluxo normal de “esqueci minha senha” não resolve. A lógica é simples e antiga: para provar que é dono da conta, o dono precisa receber o link de redefinição no e-mail cadastrado. O problema é que o HTS pulou essa checagem por completo.

Em carta de notificação de vazamento arquivada no gabinete do procurador-geral de Maine, nos Estados Unidos, a advogada Amber Hannah, responsável jurídica pela resposta a incidentes da Meta, explicou o mecanismo. “Devido a um bug em um caminho de código separado, o sistema não verificava corretamente que o endereço de e-mail fornecido pela pessoa que pedia a redefinição correspondia ao e-mail associado à conta daquele usuário no Instagram”, disse Hannah, segundo reportagem do BleepingComputer. Em vez de recusar o pedido, o HTS despachava o link de redefinição para o e-mail do atacante.

É o equivalente digital de um banco que aceita trocar a senha de uma conta para qualquer pessoa que saiba o número da agência — sem perguntar quem ela é. A falha era estrutural, não exigia prova de conceito sofisticada e funcionava em escala.

Como o ataque acontecia

A cadeia de ataque não exigia conhecimento técnico avançado. Bastava o nome de usuário do alvo e um endereço de e-mail controlado pelo invasor, conforme detalhado pela Ciphers Security. O passo a passo do golpe:

  1. O atacante identificava o alvo pelo handle (ex.: @usuario_alvo).
  2. Iniciava um pedido de recuperação de conta pelo HTS.
  3. Fornecia um e-mail próprio — e não o cadastrado na conta — como destino da recuperação.
  4. O HTS gerava um token válido de redefinição e o enviava para a caixa do atacante.
  5. O atacante clicava, criava nova senha e assumia o controle da conta.

O golpe funcionava de forma silenciosa e sistemática, não como caso isolado descoberto por acaso. A cobertura do BleepingComputer, publicada uma semana antes da confirmação oficial da Meta, já descrevia uma onda de relatos de usuários em redes sociais que tiveram contas invadidas pelo mesmo padrão.

O que foi exposto nas contas

Para as contas sem 2FA, o dano era total. Depois de redefinir a senha, o atacante passava a controlar a conta como se fosse o dono legítimo e podia acessar uma lista ampla de dados pessoais, segundo a Meta listou na notificação de vazamento:

  • E-mails e números de telefone cadastrados para recuperação ou 2FA;
  • Datas de nascimento armazenadas no perfil;
  • Mensagens diretas (DMs) — conversas privadas individuais e em grupo;
  • Fotos, vídeos, Stories e Reels, incluindo conteúdo arquivado;
  • Histórico de atividade: locais de login, dispositivos, registros de interação;
  • Informações de perfil: biografia, site, listas de seguidores e seguindo;
  • Apps e serviços conectados via OAuth autorizados pela conta.

Com esse volume de dados, o atacante consegue ler anos de conversas privadas, baixar mídia pessoal, expulsar o dono real de forma permanente e usar a conta vazada para distribuir golpes e phishing aos próprios seguidores da vítima — um efeito dominó que multiplica o alcance do ataque original.

Por que o Brasil é alvo

O Brasil é um dos maiores mercados do Instagram do planeta. Mais de 110 milhões de brasileiros usam a plataforma, e a economia de influência movimenta bilhões de reais por ano. Uma conta roubada aqui não é só perda de memórias: é perda de renda, de relacionamentos comerciais e, muitas vezes, de identidade digital construída por anos.

Grupos de golpistas brasileiros já compram e vendem contas verificadas em fóruns clandestinos por valores que chegam a milhares de reais, dependendo do número de seguidores e do “selo azul”. O ataque via HTS entregou a esses criminosos uma porta dos fundos institucional: em vez de técnicas de engenharia social complexas, bastava um nome de usuário e um e-mail falso.

A única defesa que funcionou: 2FA

A Meta foi clara no relato: contas com autenticação em duas etapas ativada não foram completamente comprometidas. Mesmo que o atacante redefinisse a senha via HTS, ele era barrado no segundo fator — o código gerado por um app autenticador ou enviado por SMS — antes de conseguir entrar no conteúdo da conta. Vale lembrar, porém, que ferramentas como a Evilginx já demonstraram como o 2FA pode ser contornado em golpes de phishing mais sofisticados, o que reforça que nenhuma camada é bala de prata.

Contas sem 2FA, porém, caíam por inteiro no momento em que o atacante clicava no link de redefinição. A senha era a única barreira, e o HTS a eliminava. É o caso clássico em que uma camada extra de verificação separa o desastre total de um susto controlável.

Como proteger sua conta agora

Se você teve atividade estranha na conta entre 17 de abril e 31 de maio de 2026, ou recebeu uma notificação da Meta, é hora de agir. Mesmo quem não foi afetado diretamente deve reforçar a própria segurança diante de um padrão de falha desse tipo:

  1. Redefina sua senha imediatamente. Use uma senha forte e exclusiva, nunca reutilizada em outro serviço. Um gerenciador de senhas ajuda a manter tudo sob controle — e protege contra cenários como o vazamento de 16 bilhões de senhas que expôs credenciais reutilizados.
  2. Ative a autenticação em duas etapas. Vá em Configurações → Conta → Segurança → Autenticação de dois fatores. Prefira um app autenticador (Google Authenticator, Authy ou chave física de segurança) em vez de SMS, que pode ser burlado por troca de chip (SIM swap). Foi o 2FA que manteve as contas dos afetados a salvo.
  3. Revise as sessões ativas. Em Configurações → Segurança → Atividade de login, confira cada dispositivo e local. Encerre qualquer sessão desconhecida.
  4. Revogue apps de terceiros. Em Configurações → Segurança → Apps e sites, cancele o acesso de qualquer aplicação via OAuth que você não use mais ou não reconheça.
  5. Audite mensagens e atividade. Verifique se algo foi enviado, postado ou alterado sem sua autorização. Documente e reporte à Meta pelo canal de ajuda dentro do app.

O histórico pesado da Meta

O episódio do HTS não é um ponto fora da curva. É mais um capítulo de uma sequência de falhas de proteção de contas nas propriedades da Meta. Não é a primeira vez que sistemas baseados em IA se tornam vetores de ataque — no caso do HTS, a própria ferramenta de assistência virou a porta de entrada para os criminosos. A empresa já havia sido multada pela Irlanda em 264 milhões de dólares por um vazamento de 2018 que expôs nomes, e-mails, telefones e localizações de mais de 29 milhões de usuários do Facebook. Antes disso, um bug na API do Instagram em 2019 vazou informações de contato privadas de milhões de contas, e o incidente de scraping de 2021 expôs mais de 500 milhões de registros.

O fio comum é o mesmo: ferramentas internas e superfícies de API da Meta falharam repetidamente em validar quem é quem. Quando a verificação de identidade é omitida — como aconteceu com o e-mail no HTS — qualquer sistema de recuperação vira mecanismo de roubo de contas. A Meta afirmou que fará uma revisão completa de fluxos semelhantes de recuperação em todas as suas plataformas antes de reativar o HTS.

Referências