Os hackers conseguiram enganar o bot de suporte baseado em IA da Meta, permitindo-lhes assumir o controle de uma série de contas do Instagram, incluindo algumas de alto perfil. Isso incluiu contas pertencentes à Casa Branca, à Força Espacial dos EUA e à pesquisadora de segurança Jane Wong.
Atualização: Meta revelou agora que cerca de 20.000 contas foram comprometidas e explicou as medidas tomadas em resposta…
Em um daqueles momentos “você não consegue inventar”, os hackers conseguiram enganar o chatbot de suporte de IA da Meta, permitindo-lhes realizar redefinições de senha nas contas do Instagram de outras pessoas. O método de ataque era infantilmente simples.
- Eles iniciaram um processo de redefinição de senha
- Quando solicitados a escolher um método, eles selecionaram Meta AI Support Assistant
- Eles pediram ao chatbot para adicionar um novo endereço de e-mail à conta
- Fê-lo sem questionar, apesar de não estarem logados nessa conta
- O chatbot enviou um código para o novo endereço de e-mail
- Eles usaram esse código para alterar a senha
- Este processo também desconectou o proprietário da conta em todos os seus dispositivos
Dark Web Informer postou um vídeo da exploração em ação.
O Instagram tinha um exploit que permitia usar Meta AI para redefinir senhas de contas sem MFA. A exploração foi corrigida há pouco tempo.pic.twitter.com/PEUwLvmllj
– Dark Web Informer (@DarkWebInformer) 1º de junho de 2026
O TechCrunch relata que as vítimas incluíram algumas contas importantes do Instagram.
As contas comprometidas incluem o nome do Instagram da Casa Branca da era Obama, que parece estar inativo desde 2017; e o relato do sargento-chefe da Força Espacial dos EUA, John Bentivegna. A pesquisadora de segurança Jane Wong disse que sua conta no Instagram também foi controlada.
Cerca de 20.000 contas comprometidas
SecurityWeek relata que Meta revelou agora que cerca de 20.225 contas do Instagram foram comprometidas. Um pequeno número deles pode ter sido solicitações genuínas de usuários, mas a esmagadora maioria terá sido hacks.
Os invasores poderiam ter obtido informações de perfil, endereços de e-mail, números de telefone, datas de nascimento, mensagens diretas, postagens em mídias sociais e informações sobre atividades da conta e histórico de interação.
A gigante das redes sociais desativou a ferramenta abusada e irá reativá-la somente depois de garantir que a vulnerabilidade foi corrigida. Os links de redefinição de senha gerados pela exploração da vulnerabilidade foram invalidados. Além disso, as contas afetadas foram inscritas num ponto de verificação de segurança obrigatório e as suas palavras-passe foram redefinidas.
Meta notificou os proprietários das contas afetadas.
Foto de Azamat E no Unsplash
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.