Você deve ter ouvido falar que algumas contas notáveis do Instagram foram hackeadas no fim de semana. Conta de Barack Obama na Casa Branca foi sem dúvida o maior entre eles.
O que você talvez não tenha ouvido é que os hackers não precisaram se esforçar muito: o chatbot de suporte ao cliente de IA da Meta basicamente entregou as contas.
De acordo com 404 Mídiaos hackers simplesmente tiveram que solicitar que o chatbot assistente de suporte de IA da Meta alterasse o endereço de e-mail associado à conta alvo. Os hackers então enganaram o bot para que ele iniciasse uma redefinição de senha sem exigir verificação de identidade. A IA então enviou um código de acesso para o endereço de e-mail do hacker, que o hacker copiou para o chat. Isso fez com que a IA exibisse um botão “Redefinir senha”, que foi então usado para modificar a senha e assumir o controle da conta.
Tem até um passo a passo editado vídeo do processo em X. O hacker usou uma VPN para fazer parecer que estava no native do alvo, e a IA rapidamente atendeu à solicitação. Em nenhum momento o hacker precisou do endereço de e-mail ou da senha unique do usuário.
O Instagram tinha uma exploração que permitia usar Meta AI para redefinir senhas de contas sem MFA. A exploração foi corrigida há pouco tempo.pic.twitter.com/PEUwLvmllj
– Darkish Net Informer (@DarkWebInformer) 1º de junho de 2026
A violação de segurança atingiu contas, incluindo a varejista de maquiagem Sephora e o sargento-chefe da Força Espacial dos EUA, John Bentivegna. Não está claro quantas contas foram afetadas no complete, mas muitos usuários relataram ter sido hackeados Reddit e X no fim de semana, incluindo a pesquisadora de segurança Jane Wong.
“A senha foi alterada sem meu conhecimento e recebi diversas tentativas de redefinição de senha ontem”, Jane disse no X. “E eu fui desconectado repetidamente do [Instagram] aplicativo iOS. Bastante preocupante.”
Como o hack aconteceu?
O problema se deve quase inteiramente ao suporte ao cliente da Meta agora administrado pela IA. O gigante da tecnologia fiz a troca em março, dizendo que permitiria “ajuda 24 horas por dia, 7 dias por semana para problemas de conta, como atualização de senha e configurações de perfil”.
Mas com o chatbot de IA cuidando de todo o processo, os humanos não poderiam intervir quando atividades suspeitas começassem. Isso permitiu que hackers realizassem o ataque no estilo de engenharia social e o executassem várias vezes antes que alguém percebesse.
Por Notícias sobre segurança cibernéticaos pesquisadores de segurança ZachXBT e Darkish Net Informer foram os primeiros a expor publicamente a exploração, mas não antes de várias contas importantes terem sido roubadas. Darkish Net Informer rastreou a venda de muitas dessas contas importantes em tempo actual. Algumas dessas contas foram agrupadas pelo preço pedido de US$ 1 milhão.
O porta-voz do Instagram, Andy Stone, disse em um postar no X que a exploração já foi corrigida. A 404 Media relata que a Meta está no meio de “proteger as contas afetadas”.
Meta ainda não respondeu a um pedido de comentário.
Como se proteger de ataques semelhantes
A exploração de engenharia social tinha uma falha importante: não funcionava em contas com autenticação multifator. Essas contas já tinham o código no aplicativo de autenticação de sua escolha ou o receberam por mensagem de texto. Sem a configuração de MFA, o código de redefinição único parece ser enviado para um endereço de e-mail de sua escolha, permitindo assim que os hackers o obtenham.
A melhor forma de se proteger é habilitar a autenticação multifator, que está disponível em todas as plataformas Meta. Isto não irá protegê-lo 100% do tempomas é muito melhor do que uma senha por si só e teria protegido totalmente contra essa exploração específica.
Existem outras coisas que você pode fazer para reforçar a segurança da containcluindo o uso de chaves de acesso, quando disponíveis, e um endereço de e-mail privado para dificultar a localização das credenciais da sua conta.
