A Meta informou que mais de 20.000 usuários do Instagram tiveram suas contas invadidas em um incidente recente, no qual atacantes usaram o sistema de suporte com IA da empresa para redefinir senhas.
Os threat actors exploraram uma falha na ferramenta High Touch Support (HTS), um sistema de suporte assistido por IA que ajuda usuários a recuperar o acesso após serem bloqueados fora de suas contas do Instagram.
Ao explorar o fato de que o HTS não verificava se os endereços de e-mail estavam vinculados às contas-alvo do Instagram, os atacantes obtiveram links de redefinição de senha que permitiram entrar e sequestrar contas sem que o 2FA estivesse ativado.
Depois que uma onda de relatos de usuários sobre esses ataques ganhou força nas redes sociais, Andy Stone, vice-presidente de comunicações da Meta, respondeu a um dos usuários afetados e afirmou que o “problema foi resolvido e estamos protegendo as contas impactadas”.
A Meta não respondeu até o momento a um pedido de comentário sobre a violação de segurança.
“Estamos escrevendo para informar que uma vulnerabilidade em uma ferramenta de suporte para recuperação de contas do Instagram foi usada para potencialmente comprometer as contas do Instagram de 30 usuários em sua jurisdição.
Todas as contas foram protegidas para impedir qualquer acesso não autorizado contínuo”, disse a Meta em uma carta sobre data breach apresentada recentemente ao gabinete da Procuradora-Geral do Maine.
“Em 31 de maio de 2026, a Meta descobriu que havia uma vulnerabilidade em um sistema de recuperação de contas do Instagram assistido por IA (‘High Touch Support’ ou ‘HTS’) que foi explorada por terceiros não autorizados para realizar redefinições de senha em contas de usuários do Instagram”, explicou a empresa.
Embora a Meta não tenha especificado quando os ataques começaram na carta sobre a data breach, o documento protocolado no site da Procuradoria-Geral do Maine informa que a violação ocorreu em 17 de abril, data que provavelmente marca o primeiro ataque que explorou a falha no HTS.
Além disso, embora a empresa afirme não ter informações sobre quais dados pessoais podem ter sido acessados ou roubados das contas comprometidas, ela observou que os atacantes poderiam ter obtido acesso às informações de contato dos usuários afetados do Instagram, como endereço de e-mail e/ou número de telefone, datas de nascimento, publicações e conteúdos nas redes sociais, incluindo fotos, vídeos e stories, mensagens diretas e comunicações, atividade da conta e histórico de interações, informações de perfil, como biografia e foto do perfil, além de outras contas conectadas e serviços vinculados.
Após descobrir o incidente, a empresa desativou o sistema de suporte HTS, baseado em IA, e todos os links de redefinição de senha que ele havia gerado, para garantir que novas tentativas de sequestro da mesma campanha maliciosa fossem bloqueadas.
A Meta também incluiu todas as contas potencialmente roubadas em uma etapa obrigatória de verificação de segurança e pediu que todos os usuários afetados redefinissem suas senhas novamente e se reautenticasssem para proteger e recuperar o controle das contas comprometidas.
“Antes de relançar a ferramenta, a Meta corrigirá a verificação de autenticação no ponto de entrada de recuperação do Instagram para garantir a validação adequada dos endereços de e-mail em relação às informações existentes da conta antes que qualquer redefinição de senha seja iniciada”, acrescentou a empresa.
“Além disso, a Meta está conduzindo uma análise abrangente de fluxos semelhantes de recuperação de contas em suas plataformas para identificar e corrigir quaisquer possíveis problemas.”
Antes desse incidente, a Irlanda também multou a Meta em US$ 264 milhões por uma violação de dados de 2018 que expôs nomes, endereços de e-mail, números de telefone e localizações físicas de mais de 29 milhões de contas do Facebook.
A Meta também foi multada em € 265 milhões, o equivalente a US$ 275,5 milhões, em novembro de 2022, por não proteger os dados dos usuários do Facebook contra scrapers, e em mais € 91 milhões, cerca de US$ 100 milhões, por armazenar as senhas de centenas de milhões de usuários em texto simples.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...