A Meta informou que cerca de 20 mil contas do Instagram podem ter sido comprometidas após uma falha identificada em uma ferramenta de recuperação de acesso baseada em inteligência artificial. O problema permitia que pessoas não autorizadas recebessem links para redefinir senhas de usuários da plataforma.

A vulnerabilidade foi registrada pela empresa junto às autoridades do estado do Maine, nos Estados Unidos. Segundo o documento, a falha foi identificada em 31 de maio e já foi corrigida. A companhia afirma que adotou medidas para proteger as contas afetadas e impedir novos acessos indevidos.

Até o momento, a Meta não informou se usuários brasileiros estão entre os possíveis atingidos nem confirmou comunicação formal à Autoridade Nacional de Proteção de Dados (ANPD).

Como funcionava a falha

Segundo a empresa, o problema ocorreu em uma ferramenta de recuperação de contas utilizada quando usuários perdem o acesso ao Instagram.

Normalmente, o sistema envia um link de redefinição de senha para o endereço de e-mail cadastrado na conta. No entanto, uma falha em um trecho específico do código fazia com que a verificação do endereço eletrônico não fosse realizada corretamente.

Com isso, o sistema podia enviar o link de recuperação para um e-mail diferente daquele vinculado à conta, permitindo que terceiros redefinissem a senha e assumissem o controle do perfil.

A vulnerabilidade afetava principalmente usuários que não tinham ativado a autenticação em dois fatores, mecanismo adicional de segurança recomendado por especialistas.

Contas conhecidas foram afetadas

Entre os perfis potencialmente comprometidos estão contas de grande visibilidade internacional, incluindo a antiga conta presidencial de Barack Obama e o perfil da marca Sephora nos Estados Unidos.

A Meta não divulgou a lista completa das contas atingidas nem informou quantos acessos indevidos foram efetivamente confirmados.

A empresa afirmou que ainda não sabe exatamente quais informações foram acessadas pelos invasores. No entanto, os dados potencialmente disponíveis nas contas comprometidas incluem:

• Endereço de e-mail e número de telefone;
• Data de nascimento;
• Fotos, vídeos e stories publicados;
• Mensagens diretas (DMs);
• Histórico de atividades e interações;
• Informações do perfil, como biografia e foto;
• Contas conectadas e serviços vinculados.

Segundo a companhia, as investigações continuam para determinar a extensão do incidente.

Especialistas reforçam importância da autenticação em dois fatores

O caso reacendeu o alerta sobre a importância da autenticação em dois fatores, recurso que adiciona uma camada extra de segurança ao login.

Mesmo que um invasor consiga obter ou alterar a senha, a autenticação exige uma segunda confirmação, geralmente enviada por aplicativo autenticador ou SMS, dificultando o acesso não autorizado.

Especialistas recomendam que usuários do Instagram revisem suas configurações de segurança, alterem suas senhas regularmente e mantenham a verificação em dois fatores ativada.

Entenda o caso

• A Meta identificou uma falha em ferramenta de recuperação de contas do Instagram.
• Cerca de 20 mil contas podem ter sido afetadas.
• O erro permitia o envio de links de redefinição de senha para e-mails não autorizados.
• Usuários sem autenticação em dois fatores eram os mais vulneráveis.
• A empresa afirma que corrigiu a falha e protegeu as contas afetadas.
• Ainda não há confirmação sobre possíveis usuários brasileiros atingidos.
• As investigações sobre o alcance do incidente continuam.