seguidor.gratis
PT-BR

Menu

Navegacao principal
PT-BR
Falha no chatbot da Meta permitia sequestrar contas do Instagram Instagram e Segurança

Falha no chatbot da Meta permitia sequestrar contas do Instagram

Um bug grave no assistente de IA da Meta expôs contas do Instagram a sequestros silenciosos, e o perfil da Casa Branca da era Obama estava entre os comprometidos.

A falha no chatbot de suporte da Meta permitia que qualquer pessoa assumisse o controle de uma conta do Instagram sem precisar da senha ou do e-mail original da vitima. O ataque usava VPN para simular a localização do alvo e solicitava ao bot a adição de um novo e-mail, o que liberava a redefinição de senha. A Meta confirmou que o problema foi corrigido.

Uma falha grave no chatbot de suporte da Meta permitiu que invasores assumissem contas do Instagram sem precisar da senha original, sem acesso ao e-mail cadastrado e sem qualquer interação do dono da conta. O problema foi relatado pelo TechCrunch em junho de 2026 e a Meta confirmou a correção, mas não divulgou quantos usuários foram afetados.

O que aconteceu

O assistente de IA de suporte da Meta tinha uma brecha que permitia solicitar a adição de um novo e-mail a qualquer conta do Instagram. O chatbot tratava o interlocutor como o dono da conta sem verificar a identidade de quem fazia o pedido.

O resultado: bastava uma conversa com o bot para obter acesso completo a qualquer perfil sem autenticação em dois fatores ativada.

Como o ataque funcionava

O processo não exigia habilidades técnicas avançadas:

  1. O invasor usava uma VPN para simular que estava na cidade ou região da vítima, evitando alertas automáticos de acesso suspeito.
  2. Em seguida, abria uma conversa com o Meta AI Support Assistant.
  3. Solicitava ao chatbot a adição de um novo endereço de e-mail à conta alvo.
  4. O bot enviava um código de verificação para o e-mail fornecido pelo invasor, e não para o e-mail original da vítima.
  5. O invasor informava esse código ao chatbot.
  6. O chatbot exibia um botão de "Redefinir Senha".
  7. O invasor criava uma nova senha e assumia o controle total da conta.

O ponto mais alarmante: em nenhum momento o invasor precisava acessar o e-mail real da vítima. A falha estava na lógica do bot, que não validava a identidade de quem fazia o pedido.

Quais contas foram comprometidas

Entre as contas afetadas estavam perfis de alto valor:

  • O perfil do Instagram da Casa Branca da era Obama, inativo desde 2017.
  • A conta do Chefe-Mestre John Bentivegna, da Força Espacial dos Estados Unidos.
  • A conta da pesquisadora de segurança Jane Wong.

Um vídeo demonstrando o ataque passo a passo foi publicado no Telegram por hackers pró-Irã. As imagens mostravam o chatbot da Meta cooperando sem resistência durante todo o processo.

Por que o MFA teria evitado o ataque

Os próprios hackers confirmaram que o exploit não funcionava em contas com autenticação em dois fatores ativa. O ataque explorava exclusivamente a ausência de uma segunda camada de verificação.

Contas com MFA ativado bloqueavam o fluxo antes de qualquer possibilidade de redefinir a senha. Isso torna o MFA a proteção mais eficaz contra esse tipo de ataque.

O que a Meta fez

Andy Stone, porta-voz do Instagram, confirmou que o problema foi corrigido. As contas comprometidas foram recuperadas, mas a Meta não divulgou o número exato de usuários afetados nem o período em que a falha estava ativa.

A empresa não detalhou publicamente as mudanças feitas no chatbot para impedir ataques semelhantes no futuro.

A Meta também realizou recentemente uma limpeza em massa de bots e contas falsas no Instagram, que afetou perfis com mais de 800 mil seguidores.

Como proteger sua conta agora

Mesmo com a falha corrigida, estas práticas reduzem muito o risco em qualquer cenário:

  • Ative o MFA: Acesse Configurações, depois Segurança, e ative a autenticação em dois fatores. Use um aplicativo autenticador ou chave de segurança física, que são mais seguros do que o código via SMS.
  • Revise os e-mails vinculados: Confirme que apenas os seus endereços de e-mail estão associados à sua conta.
  • Monitore a atividade de login: No Instagram, acesse Configurações, Segurança e depois Atividade de Login para ver quais dispositivos acessaram sua conta recentemente.
  • Use uma senha forte e única: Não reutilize senhas em diferentes plataformas.

A ativação do MFA é a medida mais importante. Ela teria impedido o ataque em todos os casos documentados.

Perguntas frequentes

Minha conta pode ter sido afetada?

Se você não tinha MFA ativo durante o período em que a falha estava ativa, vale revisar o histórico de logins e confirmar que o e-mail cadastrado ainda é o seu. Se perceber qualquer atividade estranha, redefina sua senha imediatamente e ative o MFA.

O ataque ainda funciona?

Não. A Meta confirmou que o problema foi corrigido. O chatbot de suporte não permite mais esse fluxo de adição de e-mail sem verificação de identidade adequada.

Apenas o Instagram foi afetado?

Os relatos documentados envolvem contas do Instagram especificamente. Não há confirmação de que outras plataformas da Meta, como Facebook ou WhatsApp, foram afetadas pela mesma falha.

Devo ativar o MFA mesmo agora que a falha foi corrigida?

Sim. O MFA protege contra uma ampla variedade de ataques, não apenas este. Phishing, credential stuffing e ataques de força bruta são muito mais difíceis com MFA ativo. É uma das melhores decisões de segurança que você pode tomar para qualquer conta.