- Falha na ferramenta interna High Touch Support do Instagram permitiu que invasores redefinissem senhas de contas sem autorização.
- Ao menos 20.225 pessoas foram afetadas; o problema ocorreu em 17 de abril de 2026 e só foi identificado pela Meta em 31 de maio de 2026.
- A falha permitia enviar o link de redefinição de senha para o e-mail informado pelo atacante, sem checar se era o e-mail cadastrado na conta.
- Dados potencialmente expostos incluíam e-mail, número de telefone, data de nascimento, publicações, fotos, mensagens diretas e histórico de atividade.
- A Meta desativou o High Touch Support no mesmo dia da identificação, invalida links gerados, bloqueou contas afetadas e planeja notificar os impacted em 19 de junho; a correção envolve validar o e-mail no fluxo de recuperação.
A Meta informou em maio de 2026 que uma falha em uma ferramenta interna de recuperação de contas do Instagram permitiu que invasores redefinissem senhas de usuários sem autorização. Pelo menos 20.225 pessoas foram afetadas, com a descoberta ocorrendo 44 dias após os primeiros registros da falha.
O incidente ocorreu em 17 de abril de 2026 e só foi identificado pela empresa em 31 de maio. A Meta notificou o caso ao Escritório do Procurador-Geral do estado do Maine, nos Estados Unidos, onde 30 usuários foram identificados como impactados. A ferramenta envolvida foi o High Touch Support, criada para ajudar quem perdeu acesso à conta.
A falha ocorreu durante o processo de recuperação de acesso, permitindo que o link de redefinição de senha fosse enviado para um e-mail controlado pelo invasor, sem confirmar se o e-mail batia com o cadastrado na conta. Com o link, o invasor podia criar uma nova senha e assumir o controle, desde que a verificação em duas etapas não estivesse ativada.
O que é o High Touch Support
A ferramenta High Touch Support é usada para atender usuários que perderam o acesso às contas do Instagram, combinando atendimento com apoio de inteligência artificial para solicitar o link de redefinição informando o e-mail.
A falha estava numa etapa específica do fluxo: a verificação de correspondência entre o e-mail informado e o cadastrado na conta. O sistema não realizava essa checagem, abrindo a possibilidade de ataques por terceiros.
Medidas adotadas pela Meta
Assim que identificada a falha, a Meta desativou o High Touch Support e invalidou todos os links gerados durante o período vulnerável. As contas afetadas foram bloqueadas temporariamente, exigindo nova autenticação para retomada do acesso. Usuários foram orientados a redefinir senhas por canais seguros.
A empresa informou que notificará eletronicamente os afetados no dia 19 de junho de 2026, com recomendações para revisar configurações de segurança e ativar a verificação em duas etapas. Antes de reativar a ferramenta, a Meta pretende corrigir a etapa de validação de e-mail no fluxo de recuperação.
Panorama e desdobramentos
A Meta também informou que está revisando processos similares em outras plataformas do grupo para verificar a existência de falhas semelhantes. O incidente no Maine não é considerado isolado pela empresa, que ressalta a importância de fortalecer camadas de segurança.
Nos últimos dias, ocorreram relatos de invasões envolvendo o uso de bots de suporte do Instagram para contas de alto perfil e vazamento de dados de contatos em casos de usuários influentes. As medidas recomendadas continuam sendo a ativação da verificação em duas etapas, a revisão de dispositivos conectados e a mudança de senhas em casos suspeitos.
Entre na conversa da comunidade