- A Meta informou que cerca de 20 mil contas do Instagram podem ter sido invadidas por uma falha no sistema de recuperação de contas operado por IA.
- O incidente foi identificado em 31 de maio, e todas as contas foram protegidas para impedir acessos não autorizados contínuos; há registro de 30 moradores atingidos no documento enviado ao governo do Maine, nos EUA.
- Contas de destaque mencionadas incluem a antiga conta presidencial de Barack Obama e a da Sephora, com hackers conseguindo redefinir senhas por meio da falha na recuperação de conta.
- O problema afetou usuários sem verificação em dois fatores; o sistema enviava links de redefinição de senha para emails não associados, permitindo acesso indevido.
- A Meta não informou se contas brasileiras foram atingidas e não comunicou a ANPD sobre o vazamento.
A Meta informou que cerca de 20 mil contas do Instagram podem ter sido invadidas por uma falha no sistema de recuperação de contas operado por IA. A empresa registrou o número em um documento oficial ao governo do Maine, nos EUA, ao comunicar a falha, que afetou, segundo o documento, 30 moradores inicialmente. A falha foi identificada no dia 31 de maio.
A companhia afirma que tomaram medidas para proteger as contas afetadas e evitar acessos não autorizados contínuos. Não foi informado se houve impacto em usuários brasileiros, pois a Meta não respondeu a perguntas enviadas por email sobre esse ponto até a publicação.
A Meta detalhou que hackers conseguiram redefinir senhas por meio de um bug em um caminho de código separado dentro do sistema de recuperação de IA para o Instagram. O problema atingiu usuários que não tinham verificação em dois fatores habilitada, o que facilita o acesso subsequente com a nova senha.
Como ocorreu a falha
O mecanismo de IA ajuda usuários com contas bloqueadas a recuperar o acesso por meio do envio de um link de redefinição de senha para o email cadastrado. Segundo a empresa, o bug permitiu que o link fosse enviado para emails não associados, abrindo a brecha para que pessoas não autorizadas recebesssem o link.
Após a redefinição de senha, era possível fazer login mesmo sem autenticação de dois fatores, conforme a Meta. O documento oficial não aponta quais informações pessoais podem ter sido acessadas, mas lista dados potencialmente expostos em contas do Instagram.
Entre as informações potencialmente vulneráveis estão contatos (email e/ou telefone), data de nascimento, publicações, mensagens diretas, histórico de atividades, informações do perfil e serviços vinculados. A divulgação inclui casos de alto perfil, como a antiga conta presidencial de Barack Obama e a conta da Sephora nos EUA.
Status e próximos passos
A Meta informou às autoridades o incidente e ressaltou que as contas identificadas foram protegidas para impedir novos acessos. Não houve confirmação de comunicação à ANPD, nem detalhes sobre o que será feito para mitigar riscos futuros. A empresa não classificou o incidente como conclusão definitiva nem ofereceu prazo para resolução total.
Entre na conversa da comunidade