Meta confirma invasão de 20 mil contas do Instagram por falha em IA

A Meta Platforms Inc. confirmou, em documento enviado ao Procurador-Geral do Maine, que hackers invadiram 20.225 contas do Instagram explorando uma falha no High Touch Support, um sistema de recuperação de acesso operado por inteligência artificial. A vulnerabilidade foi descoberta pela própria empresa em 31 de maio de 2026. O primeiro acesso não autorizado ocorreu em 17 de abril, o que significa que a brecha permaneceu aberta por aproximadamente sete semanas.

O HTS foi criado para ajudar usuários a recuperar contas bloqueadas. A falha era lógica. Quando um invasor solicitava a redefinição de senha fornecendo um e-mail diferente do cadastrado na conta-alvo, o sistema enviava o link de recuperação para esse novo endereço sem qualquer verificação de propriedade. Recorrendo a VPNs e a instruções compartilhadas em grupos de Telegram, os criminosos faziam o chatbot vincular seu próprio e-mail à conta-alvo, recebendo o link e assumindo o controle total do perfil.

O ataque comprometeu perfis de alto escalão, incluindo a conta oficial da Casa Branca (gestão Obama), da marca Sephora e do Chefe da Força Espacial dos Estados Unidos, que chegaram a publicar conteúdo pró-Irã. Em resposta, a Meta desativou o HTS, invalidou todos os links gerados e impôs verificação de segurança obrigatória, redefinindo as senhas das contas potencialmente afetadas. Contas com autenticação de dois fatores ativada não foram invadidas, pois o segundo fator bloqueava o acesso mesmo com a senha redefinida.

▌ CYBERPROTEC INTELIGÊNCIA

O sistema de inteligência artificial da Meta aceitou o e-mail do próprio invasor e redefiniu a senha. O sistema operou às cegas e nenhuma verificação cruzada foi exigida. A máquina simplesmente ignorou os protocolos e confiou no atacante. A falha foi lógica, não técnica. Um bug ignorou a verificação de propriedade do endereço. O ataque não usou força bruta, o criminoso apenas pediu e a inteligência artificial obedeceu.

Automação sem controle de acesso é superfície de ataque. A CyberProtec recomenda simular ataques de abuso de função em agentes de inteligência artificial antes de colocá-los em produção. Teste se suas ferramentas aceitam endereços de terceiros. E exija validação rigorosa ou 2FA para qualquer redefinição de credenciais.