O Instagram corrigiu uma falha técnica que provocou o envio em massa de e-mails de redefinição de senha para milhares de usuários nos últimos dias. As mensagens foram disparadas sem qualquer solicitação dos titulares das contas, o que gerou preocupação generalizada e levou a Meta, empresa controladora da rede social, a se manifestar oficialmente. Apesar de negar qualquer invasão em seus sistemas, o episódio reacendeu discussões sobre a segurança de dados pessoais em grandes plataformas digitais, especialmente após uma empresa de cibersegurança relacionar o caso à circulação de informações sensíveis na dark web.
Bug permitia disparo indevido de alertas oficiais
Segundo informações divulgadas pelo G1, o Instagram reconheceu a existência de um bug que permitia que terceiros solicitassem a redefinição de senha em nome de outros usuários. A falha não concedia acesso direto às contas, mas acionava o mecanismo automático de segurança da plataforma, responsável pelo envio dos e-mails oficiais de alerta.
Usuários relataram o recebimento de múltiplas mensagens em curtos intervalos, inclusive durante a madrugada, o que reforçou a percepção de um possível ataque coordenado. A Meta informou que o problema foi totalmente corrigido no domingo (11) e garantiu que os sistemas internos da empresa não foram comprometidos.
Diante da repercussão em redes como o X (antigo Twitter), a recomendação oficial do Instagram foi para que os usuários ignorassem os e-mails recebidos indevidamente. Por se tratarem de mensagens legítimas do sistema, o simples recebimento não indica que a conta tenha sido invadida. A empresa, no entanto, não detalhou como a falha era explorada nem quem foram os responsáveis por acionar os pedidos indevidos, limitando-se a afirmar que os dados de login permanecem seguros.
Vazamentos antigos impulsionam novos ataques
Mesmo sem indícios de uma nova invasão, a empresa de segurança Malwarebytes identificou a comercialização de um banco de dados com informações de cerca de 17,5 milhões de contas do Instagram em fóruns cibercriminosos. O material inclui nomes de usuário, endereços de e-mail e números de telefone.
Especialistas apontam que esses dados provavelmente são resultado da recirculação de informações obtidas em vazamentos anteriores, possivelmente de 2024. Criminosos costumam reutilizar essas listas para tentar acessos indevidos ou aplicar golpes de engenharia social, explorando usuários que mantêm credenciais antigas ou reutilizadas.
O principal risco está em ataques de phishing, nos quais golpistas usam dados reais para convencer vítimas a fornecerem senhas ou códigos de verificação. Mesmo sem acesso direto às senhas atuais, a exposição de e-mails e telefones facilita tentativas de invasão direcionadas.
Como medida preventiva, especialistas recomendam a ativação imediata da autenticação de dois fatores (2FA). Essa camada adicional de segurança impede o acesso à conta mesmo que a senha seja comprometida, exigindo um código temporário enviado por SMS ou gerado por aplicativos de autenticação, como o Google Authenticator. Em um cenário de vazamentos recorrentes, o 2FA deixa de ser opcional e passa a ser essencial para a proteção de perfis digitais.
