O Instagram anunciou ter corrigido uma falha que permitia a agentes mal-intencionados enviar em massa e-mails de redefinição de senha, em meio a alegações de que dados de mais de 17 milhões de contas foram coletados e divulgados na internet.
“Resolvemos um problema que permitia a terceiros solicitar e-mails de redefinição de senha para alguns usuários do Instagram”, afirmou um porta-voz da Meta.
“Queremos garantir que não houve invasão aos nossos sistemas e que as contas permanecem seguras. As pessoas podem desconsiderar esses e-mails, e pedimos desculpas por qualquer confusão causada.”
A suspeita de vazamento de dados ganhou repercussão após a empresa de segurança Malwarebytes alertar seus clientes sobre o roubo envolvendo 17,5 milhões de contas.
Essas informações teriam sido compartilhadas gratuitamente em diversos fóruns de hackers, com a alegação de que foram obtidas por meio de um vazamento não confirmado da API do Instagram em 2024.
No total, o banco de dados divulgado contém 17.017.213 perfis, que incluem números de telefone, nomes de usuário, nomes reais, endereços físicos, e-mails e IDs do Instagram. Nem todos os registros têm todas as informações; alguns apresentam apenas o ID e o nome de usuário.
Pesquisadores em cibersegurança no X (antigo Twitter) afirmam que esses dados seriam resultado de uma extração da API ocorrida em 2022, sem apresentar evidências concretas.
Por sua vez, a Meta informou a imprensa que não teve conhecimento de incidentes envolvendo sua API em 2022 ou 2024. No passado, o Instagram já enfrentou problemas semelhantes, como em 2017, quando um bug permitiu a coleta e venda de dados pessoais de cerca de 6 milhões de usuários.
Ainda não está claro se o conjunto atual é resultado desse vazamento antigo somado a dados mais recentes. Até o momento, não há indícios de que o incidente represente um novo vazamento.
A Meta reafirma não ter registrado violações recentes na API, e os especialistas ainda não apresentaram provas de que o dataset foi obtido por uma vulnerabilidade atual.
Tudo indica que essa base seja uma compilação de informações coletadas ao longo dos anos, em múltiplas ocasiões. A boa notícia é que a base não contém senhas; portanto, não há necessidade de alterá-las por esse motivo.
Porém, é fundamental manter atenção redobrada contra ataques de phishing, smishing (phishing via SMS) e engenharia social que utilizem esses dados para tentar acessar contas.
Criminosos costumam usar informações vazadas para roubar dados adicionais, incluindo senhas. Caso receba um e-mail de redefinição de senha do Instagram ou códigos via SMS sem ter solicitado, simplesmente ignore e exclua essas mensagens. Por fim, se ainda não tiver, é altamente recomendável ativar a autenticação de dois fatores na sua conta para reforçar a segurança.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...