Mostrar resumo Ocultar resumo
Pesquisadores e utilizadores identificaram um método que permitiu a terceiros tomar controlo de contas no Instagram usando o assistente de suporte da Meta — um problema que já foi corrigido, segundo a própria rede social. A descoberta expõe como ferramentas de IA podem ser manipuladas para contornar defesas e por que é urgente rever medidas de segurança pessoais hoje.
Relatos compilados por veículos tecnológicos e partilhados em fóruns apontam para várias contas afetadas, incluindo uma página da Casa Branca relacionada à administração Obama (inativa desde 2017), um membro da Força Espacial dos EUA e a investigadora de segurança Jane Wong.
Como funcionava o ataque
Bienal de fotografia: vencedores históricos ganham mostra no VFX
Dia da criança: ficar sem publicar pode custar visibilidade e vendas
De acordo com as publicações e com um vídeo que circulou online, o processo seguia passos simples, mas eficazes:
- O atacante usava uma VPN para alterar a localização aparente e evitar disparar defesas regionais;
- Pedia assistência ao suporte automatizado — o Meta AI — através da interface de ajuda;
- Solicitava a alteração do e‑mail associado à conta alvo, fornecendo um endereço controlado pelo invasor;
- Quando o sistema enviava um código de verificação para o e‑mail indicado, o criminoso introduzia esse código no fluxo do assistente;
- Com o código validado, surgia a opção de redefinir a palavra‑passe, o que entregava o acesso ao invasor.
Fontes dizem que o vídeo demonstrativo mostra precisamente esse caminho, incluindo a sequência de comandos ao bot e a interface que permitia substituir o endereço de contacto.
Resposta da Meta
A Meta informou que já aplicou uma correção ao sistema de suporte automatizado. Andy Stone, porta-voz da empresa, afirmou que o problema foi resolvido e rejeitou alegações inverídicas de que líderes mundiais teriam sido alvos — ao mesmo tempo, não foram divulgados números sobre quantas contas terão sido comprometidas.
Permanece incerto o alcance exato do incidente: embora tenham surgido relatos públicos de contas afetadas, a empresa não publicou um balanço detalhado de vítimas nem um cronograma completo da intervenção técnica.
As implicações vão além das contas individuais. A ocorrência sublinha o risco de falhas em fluxos automatizados de suporte e como esses pontos podem ser explorados para contornar autenticações convencionais.
O que os utilizadores devem fazer
Abaixo, ações práticas recomendadas para reduzir o risco de perda de acesso:
- Ativar a verificação em dois passos (2FA) com um método robusto, preferencialmente uma app de autenticação;
- Rever e atualizar o e‑mail e número de telefone associados à conta;
- Verificar a atividade de início de sessão e encerrar sessões desconhecidas;
- Alterar a palavra‑passe por uma combinação única e forte, diferente das usadas noutros serviços;
- Manter o aplicativo e o sistema operativo atualizados para minimizar exposições adicionais.
A investigação jornalística e técnica sobre o incidente continua. Para já, a correção aplicada evita que o mesmo fluxo de interação automatizada seja usado da mesma forma, mas especialistas alertam que atacantes tendem a adaptar táticas, tornando a vigilância e boas práticas pessoais fundamentais.
