Atacantes exploraram uma falha no chatbot de suporte da Meta no Instagram para sequestrar contas de usuários sem precisar de acesso ao e-mail legítimo ou de credenciais de autenticação. A vulnerabilidade, descoberta pelos pesquisadores ZachXBT e Dark Web Informer, foi corrigida na última sexta-feira, mas não antes de comprometer contas de alto valor estimadas em mais de US$ 1 milhão.
Como o ataque funcionou
O método não exigiu exploração técnica tradicional de servidor. O atacante abria uma conversa com o assistente de IA de suporte da Meta e usava solicitações em linguagem natural para convencer o chatbot a adicionar um novo endereço de e-mail à conta-alvo. O bot enviava um código de verificação para o e-mail do atacante — não para o e-mail vinculado à vítima. Com o código validado, o chatbot apresentava um botão de redefinição de senha, dando controle total da conta ao invasor. Em nenhum momento o atacante precisou acessar o e-mail legítimo do dono da conta.
Contas com autenticação em dois fatores (2FA) não foram comprometidas, segundo a Meta.
Vítimas e prejuízo confirmado
Dentre as vítimas conhecidas estão handles premium como @hey e @jowo, além da conta do Instagram da Casa Branca da era Obama (inativa desde 2017) e do pesquisador de segurança Jane Wong, que relatou receber múltiplas tentativas de redefinição de senha durante o fim de semana. As contas roubadas foram rapidamente comercializadas em canais privados do Telegram, conforme monitoramento do Dark Web Informer.
Falha na lógica do chatbot
A vulnerabilidade reside inteiramente na camada lógica do assistente de IA. Não houve violação de sistemas backend da Meta. O problema: o chatbot não possuía controles de rate-limiting ou verificação de identidade suficientes antes de processar solicitações de recuperação de conta. Bastava saber o nome de usuário para iniciar o processo de takeover, o que transformou a ferramenta de suporte automatizado em um vetor de engenharia social em escala.
| Elemento | Detalhe |
|---|---|
| Vetor de ataque | Chatbot de suporte da Meta (linguagem natural) |
| Requisitos do atacante | Somente o nome de usuário da vítima |
| Contas afetadas | Sem 2FA habilitado |
| Correção | Aplicada na sexta-feira (30/05) |
| Violação de sistemas | Nenhuma — falha exclusiva na lógica da IA |
Linha do tempo do incidente
- 31 de maio (sábado): Usuários relatam sequestros de contas no Reddit e X
- 01 de junho (domingo): ZachXBT e Dark Web Informer publicam alerta público com demonstração em vídeo
- 02 de junho (segunda-feira): Meta confirma correção via porta-voz Andy Stone; TechCrunch verifica o exploit
O que fazer agora
Habilite autenticação em dois fatores (2FA) no Instagram imediatamente — foi a barreira que protegeu as contas não comprometidas. Revise os endereços de e-mail vinculados à sua conta e remova qualquer que não reconheça. Se recebeu e-mails de redefinição de senha não solicitados nos últimos dias, altere sua senha e ative 2FA sem demora. Este incidente demonstra que engenharia social permanece como vetor central dos ataques modernos, agora amplificada por assistentes de IA com acesso irrestrito a funções sensíveis de contas.