O Instagram corrigiu uma falha que disparou mensagens de redefinição de senha para milhares de contas recentemente. Essas comunicações, enviadas sem solicitação dos usuários, geraram um alerta de segurança global e obrigaram a Meta, dona da plataforma, a se pronunciar oficialmente.
Apesar de a empresa negar que sua infraestrutura tenha sido invadida, uma firma especializada em segurança digital associou o episódio ao vazamento de informações confidenciais na dark web. O caso reacende a discussão sobre a proteção de dados pessoais e a vulnerabilidade de perfis em grandes redes sociais.
Erro técnico permitiu que terceiros disparassem notificações oficiais
A rede social admitiu um defeito específico que permitia a desconhecidos solicitar a alteração de senha de outros usuários. Essa vulnerabilidade não dava acesso direto ao perfil, mas acionava o mecanismo automático de proteção da plataforma, resultando no envio dos e-mails legítimos.
Muitos usuários relataram ter recebido vários alertas, inclusive durante a madrugada, o que aumentou a sensação de um ataque coordenado. A Meta afirmou que o problema foi totalmente resolvido no domingo (11) e que seus sistemas internos permanecem seguros.
Diante da quantidade de reclamações em outras plataformas, como o X/Twitter, a recomendação oficial do Instagram é que os usuários ignorem as mensagens recebidas indevidamente. Como os e-mails são comunicações automáticas do sistema oficial, eles não significam, por si só, que a conta foi invadida.
A empresa não explicou como a falha era explorada ou quem seriam os “terceiros” por trás das solicitações. Limitou-se a garantir que os dados de acesso não foram comprometidos.
Informações vazadas no passado alimentam novas ondas de ataques
Apesar da negação da Meta sobre novas violações, a empresa de segurança Malwarebytes detectou a venda de um banco de dados com 17,5 milhões de contas do Instagram. O material, disponível em fóruns de cibercriminosos, contém nomes de usuário, endereços de e-mail e números de telefone.
Especialistas explicam que esses dados provavelmente são uma recirculação de informações obtidas em um incidente de 2024. Criminosos usam essas listas antigas para tentar acessos forçados ou ataques de engenharia social, aproveitando-se de usuários que não atualizam suas credenciais há muito tempo.
O risco real está no uso dessas informações para fraudes de phishing, onde criminosos tentam enganar as vítimas para obter senhas reais a partir dos dados de contato vazados. Mesmo que as senhas atuais não estejam no conjunto vazado, a exposição do e-mail e do telefone facilita tentativas de invasão direcionadas.
Para garantir proteção total, a orientação técnica é ativar sem demora a autenticação de dois fatores (2FA) nas configurações do aplicativo. Essa camada extra de segurança bloqueia o acesso mesmo que o invasor tenha a senha, pois exige um código enviado por SMS ou gerado por aplicativos como o Google Authenticator.
