Pular para o conteúdo principal

Contas do Instagram foram invadidas por meio de um golpe na IA de suporte da Meta para verificar os invasores como proprietários.

 

Arthur Kay
Atualizado em 3 de junho de 2026
Segurança

Diversos usuários do Instagram tiveram suas contas invadidas depois que invasores enganaram as ferramentas de suporte com inteligência artificial da Meta, fazendo-as acreditar que eles eram os proprietários legítimos.

Muitos dos afetados não conseguiram recuperar o acesso porque o suporte automatizado da Meta depende de chatbots de IA que ficam em loop sem oferecer uma maneira de falar com um atendente humano.

Os ataques, que começaram a ser relatados na segunda-feira, tiveram como alvo contas raras e de alto valor. Entre as contas afetadas, segundo relatos, estavam uma anteriormente usada pela equipe da Casa Branca de Obama, uma pertencente à pesquisadora de aplicativos Jane Manchun Wong e as contas @hey e @korn.

Alguns usuários disseram que suas identidades foram verificadas por meio de reconhecimento facial e que a autenticação de dois fatores estava ativada, mas mesmo assim perderam o acesso.

Como os atacantes enganaram a IA de suporte da Meta para obter o controle de contas do Instagram.

Diversos relatos indicam que o processo de aquisição foi simples:

  1. O atacante começa ativando a função "esqueci minha senha", alegando que a conta foi invadida.
  2. Quando o assistente de IA do Instagram solicita uma selfie para verificação, o invasor carrega uma foto tirada da conta pública do alvo.
  3. Essa foto é então processada por um gerador de vídeo com inteligência artificial para criar uma animação.
  4. O vídeo animado é carregado no Meta e aceito como uma verificação de identidade válida. Após a verificação, o atacante altera o endereço de e-mail associado.
  5. Com o e-mail atualizado, eles iniciam uma redefinição de senha e recebem o código de segurança necessário para assumir o controle total da conta.

O usuário André mencionou que "a IA do Meta simplesmente aceita porque não consegue diferenciar entre uma selfie real e um vídeo gerado por IA do rosto de alguém", acrescentando que esse método burla a autenticação de dois fatores.

Alguns relatos também indicam que os atacantes usaram serviços de VPN para simular a conexão a partir da região habitual do alvo, burlando as verificações de geolocalização que normalmente acionariam um processo de login mais seguro.

Uma queixa comum é a dificuldade em contatar um agente de suporte humano durante a recuperação. O dono da conta @korn disse que passou seis horas tentando entrar em contato com o suporte e recebeu quatro links quebrados da IA ​​de suporte da Meta.

"Chegamos ao ponto em que uma IA roubou o dispositivo e outra não consegue consertar, sem nenhum humano envolvido", disse o dono da conta. André compartilhou uma experiência semelhante: "Você está falando com um chatbot que não tem capacidade para ajudar. Você não consegue falar com um humano. Você simplesmente fica sem saída."

Por que contas raras do Instagram são alvo de ataques e como a Meta está reagindo?

Contas raras, incluindo nomes de usuário com uma única letra, têm um alto valor no mercado negro, muitas vezes chegando a dezenas de milhares de dólares. Alguns relatos dizem que as contas com a letra única @e e @f foram obtidas por meio de uma exploração ativa, enquanto outros sugerem que esses nomes de usuário foram obtidos por alguém com acesso interno. O BleepingComputer observou que não conseguiu verificar nenhuma das duas afirmações de forma independente.

A Meta não emitiu um comunicado oficial. O vice-presidente de comunicações da empresa, Andy Stone, respondeu a um usuário nas redes sociais, afirmando que o problema foi resolvido e que estão protegendo as contas afetadas.

O BleepingComputer entrou em contato com a Meta para obter um comentário, mas não havia recebido resposta até o momento da publicação.

O que os usuários do Instagram podem fazer para reduzir seus riscos

O ataque explora as vulnerabilidades dos sistemas de verificação e recuperação da Meta, em vez de uma falha no dispositivo do usuário, o que limita as medidas que os indivíduos podem tomar para evitá-lo completamente. No entanto, os usuários podem tomar medidas para reduzir o risco e aumentar as chances de recuperação:

  • Limite o número de fotos de perfil públicas que mostrem claramente seu rosto, pois os invasores usam essas imagens para criar vídeos de verificação.
  • Mantenha seus dados de contato para recuperação de conta, como e-mail e número de telefone, atualizados e protegidos com senhas fortes e exclusivas.
  • Habilite a autenticação de dois fatores, embora valha a pena notar que este ataque supostamente a contornou. Mesmo assim, a autenticação de dois fatores oferece segurança adicional contra ataques mais comuns baseados em credenciais.
  • Documente comprovante de propriedade da conta, como o e-mail de cadastro original e a data de criação, caso seja necessária uma recuperação manual.
  • Fique atento a notificações inesperadas sobre redefinições de senha ou alterações de e-mail e aja prontamente caso note algo incomum.

A principal vulnerabilidade reside no processo de verificação baseado em IA da Meta, que aceita vídeos faciais gerados por IA. Enquanto a Meta não aprimorar esse aspecto do seu sistema de verificação, os usuários com contas de alto valor permanecerão em maior risco.

A Meta afirmou que os incidentes específicos foram resolvidos, mas não forneceu detalhes sobre quaisquer alterações feitas para evitar que fraudes semelhantes na verificação por IA voltem a ocorrer.

Comentários

Postar um comentário