Meta confirma 20 mil contas invadidas
A Meta revelou que mais de 20 mil contas do Instagram foram sequestradas por criminosos que exploraram uma falha no sistema de recuperação de contas da plataforma. O ataque ocorreu entre 17 de abril e 31 de maio de 2026 e aproveitou uma vulnerabilidade no High Touch Support (HTS), a ferramenta de atendimento assistida por IA que ajuda usuários a recuperar acessos perdidos. Os invasores obtiveram links de reset de senha sem que a ferramenta verificasse se o endereço de e-mail informado pertencia à conta-alvo.
O mecanismo era simples: o atacante usava uma VPN com IP geolocalizado perto da localização habitual da vítima, solicitava um reset de senha e, ao interagir com o chatbot de suporte da Meta, conseguia alterar o e-mail associado à conta. A partir desse ponto, bastava usar o link de reset para assumir o controle — contas sem autenticação de dois fatores (2FA) foram as mais afetadas.
Como o ataque funcionou
O exploit aproveitava a ausência de validação de e-mail no fluxo do HTS. O bot de suporte não conferia se o endereço informado correspondia ao registro original da conta, permitindo que o invasor redirecionasse o reset para um e-mail sob seu controle. Relatos de usuários começaram a aparecer em redes sociais no final de maio, e grupos pró-Irã publicaram vídeos no Telegram demonstrando o método aplicado a contas de alto perfil, incluindo a conta da Casa Branca de Barack Obama.
Cronologia do incidente
- 17 de abril de 2026 — primeiro ataque confirmado explorando a falha do HTS
- Última semana de maio — onda de relatos de usuários invade redes sociais
- 31 de maio de 2026 — Meta identifica a vulnerabilidade e desativa o HTS
- 1º de junho de 2026 — pesquisadores divulgam o método; contas de alto perfil são citadas
- 6 de junho de 2026 — Meta registra notificação de breach no escritório do procurador-geral do Maine
Dados expostos e resposta da Meta
Na notificação enviada ao governo do Maine, a Meta informou que os invasores tiveram acesso potencial a informações de contato (e-mail e telefone), datas de nascimento, publicações (fotos, vídeos e stories), mensagens diretas, histórico de interações, biografia e contas vinculadas. A empresa desativou o sistema HTS, invalidou todos os links de reset gerados pela ferramenta e forçou uma verificação de segurança obrigatória em todas as contas potencialmente afetadas.
Antes de reativar a ferramenta, a Meta corrigiu a verificação de autenticação no ponto de entrada da recuperação do Instagram. A empresa também anunciou uma revisão completa dos fluxos de recuperação em todas as suas plataformas.
O que fazer agora
Usuários do Instagram devem ativar a autenticação de dois fatores imediatamente — com app authenticator ou chave de segurança, não apenas SMS. Vale verificar nas configurações de segurança se o e-mail e o telefone cadastrados são os corretos. Se houver qualquer indício de acesso não autorizado (logins de dispositivos desconhecidos ou mensagens enviadas sem conhecimento), o recomendado é trocar a senha e revogar todos os tokens de sessão ativos nas configurações de conta.
Esse incidente demonstra que ferramentas de suporte assistidas por IA podem se tornar vetores de ataque quando falta validação mínima de identidade — um risco que cresce à medida que plataformas substituem atendentes humanos por chatbots. Como já reportado anteriormente, esse é o segundo caso documentado de exploração de sistemas de IA da Meta. Outras plataformas já enfrentaram padrões semelhantes — o sequestro do assistente Google Gemini via WhatsApp mostra que o vetor é sistêmico na indústria.