As contas do Instagram continuam suscetíveis a invasões explorando falhas no suporte automatizado por inteligência artificial da Meta, mesmo após a empresa afirmar ter corrigido o problema. O caso voltou a chamar atenção depois que a pesquisadora de segurança Jane Manchun Wong relatou ter sido vítima de novos acessos indevidos, apesar de utilizar autenticação em dois fatores (2FA).
A vulnerabilidade ganhou notoriedade no início de junho, quando perfis conhecidos da plataforma foram sequestrados por criminosos que abusavam do sistema de atendimento automatizado da Meta. O método consistia em convencer o suporte baseado em IA a vincular um novo endereço de e-mail à conta da vítima. A partir disso, os invasores conseguiam redefinir a senha e assumir o controle do perfil.
Jane Manchun Wong, referência em pesquisa de aplicativos e segurança digital, foi uma das primeiras vítimas do incidente. Em relatos publicados na rede social X, ela afirmou ter percebido movimentações suspeitas antes da invasão.
“A senha foi alterada sem o meu conhecimento e eu estava recebendo tentativas diferentes de redefinição de senha ao longo de ontem”, escreveu Wong. Segundo ela, o aplicativo do Instagram também a desconectava repetidamente em dispositivos iOS durante o ataque.
Após a repercussão do caso, a Meta informou que a vulnerabilidade havia sido corrigida. Entretanto, menos de 24 horas depois, Wong revelou que tanto sua conta principal quanto uma secundária foram comprometidas novamente.
“Minha senha do Instagram foi alterada de novo sem meu conhecimento”, relatou a especialista.
O episódio não afetou apenas pesquisadores de segurança. Esther Crawford, diretora de produtos da Meta, também declarou que uma de suas contas foi comprometida, levantando dúvidas sobre a eficácia das medidas adotadas pela empresa.
Meta afirma ter contido o problema
Em resposta às críticas, Andy Stone, vice-presidente de comunicações da Meta, afirmou que a companhia conseguiu proteger as contas impactadas e iniciou o processo de recuperação de acesso para usuários afetados.
Segundo Stone, algumas pessoas podem receber notificações alertando sobre alterações de senha realizadas sem autorização. Em determinados casos, o login também poderá exigir respostas a perguntas de segurança adicionais.
“Já conseguimos proteger as contas impactadas, e agora trabalhamos para restaurar o acesso às pessoas afetadas”, afirmou o executivo.
Correção pode não ter resolvido a falha
Apesar do posicionamento oficial, membros do canal Bugify Vault apontaram que a suposta solução implementada pela Meta teria sido apenas a remoção do botão “Obter suporte” da interface gráfica do aplicativo.
Na prática, essa mudança dificultaria o acesso ao sistema automatizado pelo usuário comum, mas não impediria totalmente a exploração da falha. Isso porque, segundo os relatos, as APIs da empresa ainda poderiam ser utilizadas como caminho para o sequestro das contas.
Até o momento, a Meta não detalhou publicamente quais mecanismos de segurança foram implementados após os incidentes nem esclareceu se a vulnerabilidade foi totalmente eliminada.
O que os usuários podem fazer para reduzir riscos
Enquanto não há confirmação definitiva sobre a correção do problema, especialistas recomendam algumas medidas preventivas para aumentar a segurança das contas:
- Manter a autenticação em dois fatores ativada;
- Revisar regularmente dispositivos conectados à conta;
- Verificar alterações suspeitas de e-mail ou telefone cadastrados;
- Evitar clicar em links recebidos por mensagens privadas;
- Desconfiar de contatos que solicitem redefinição de senha ou confirmação de identidade.
Também é importante monitorar notificações de login e agir rapidamente caso a plataforma informe alterações não autorizadas.
O caso reforça uma preocupação crescente envolvendo sistemas automatizados de suporte baseados em inteligência artificial. Embora tragam mais agilidade ao atendimento, falhas de validação podem abrir espaço para abusos e se transformar em uma porta de entrada para ataques contra usuários.
