){kind=link}
A Meta comunicou, em maio de 2026, que uma falha em uma ferramenta interna de recuperação de contas do Instagram permitiu que invasores redefinissem senhas de outros usuários sem autorização. O incidente afetou ao menos 20.225 pessoas e foi descoberto pela empresa 44 dias após os primeiros registros do problema.
O caso aconteceu no dia 17 de abril de 2026 e só foi identificado pela Meta em 31 de maio. A empresa notificou o caso ao Escritório do Procurador-Geral do estado americano do Maine, onde 30 usuários foram afetados.
smart_display
Nossos vídeos em destaque
O que é o High Touch Support
A ferramenta envolvida no incidente se chama High Touch Support. Ela foi criada pela Meta para ajudar usuários que perderam o acesso às suas contas no Instagram. Basicamente, funciona como um atendimento apoiado por inteligência artificial, que permite solicitar um link de redefinição de senha informando um endereço de e-mail.
O problema estava em uma etapa específica desse processo. O sistema deveria verificar se o e-mail informado pelo usuário corresponde ao e-mail já cadastrado naquela conta. Essa verificação não estava funcionando corretamente.
Como a falha era explorada
Por causa do erro, qualquer pessoa conseguia solicitar a redefinição de senha de uma conta que não era sua. Bastava informar um e-mail próprio durante o atendimento. O sistema então enviava o link de redefinição para esse e-mail, sem checar se havia correspondência com o cadastrado na conta.
Com o link em mãos, o invasor conseguia cadastrar uma nova senha e assumir o controle do perfil. Para que o ataque funcionasse, a conta-alvo precisava estar sem a verificação em duas etapas ativada. Isso porque essa camada extra de segurança exigiria uma segunda confirmação de identidade, o que bloquearia o acesso mesmo com a senha redefinida.
Quais dados podem ter sido expostos
A Meta afirmou não saber exatamente quais informações foram visualizadas em cada caso. Mesmo assim, a empresa listou os dados que estavam acessíveis nas contas afetadas.
Entre eles estão e-mail, número de telefone, data de nascimento, informações do perfil, publicações, fotos, vídeos, stories, mensagens diretas, histórico de atividade e contas conectadas ao Instagram.
Os 30 usuários do Maine identificados no documento são pessoas que tiveram a senha redefinida pela ferramenta, não tinham a verificação em duas etapas ativada e, provavelmente, tiveram as contas acessadas por terceiros. A Meta ressaltou que esse número é um limite máximo. Isso porque parte dos acessos pode ter sido feita pelos próprios donos das contas.
O que a Meta fez após descobrir o problema
No mesmo dia em que identificou a falha, a Meta desativou o High Touch Support. Todos os links de redefinição de senha gerados pela ferramenta durante o período vulnerável foram invalidados. As contas afetadas passaram por um bloqueio de segurança, exigindo que os usuários se autenticassem novamente antes de retomar o acesso. A empresa também orientou as pessoas impactadas a redefinir a senha por canais seguros.
)
A Meta informou ainda que vai notificar todos os afetados eletronicamente no dia 19 de junho de 2026, com recomendações para revisar as configurações de segurança da conta e ativar a verificação em duas etapas.
Antes de reativar a ferramenta, a empresa prometeu corrigir a etapa de validação do e-mail no fluxo de recuperação de contas. A Meta também disse que está revisando processos similares em outras plataformas do grupo para verificar se o mesmo problema existe em outros lugares.
Um padrão de falhas
O incidente documentado no Maine não é um caso isolado. No começo de junho, hackers exploraram o bot de suporte do Instagram para invadir contas de alto perfil, incluindo o perfil da Casa Branca usado no governo Obama, a rede de cosméticos Sephora e de um sargento-chefe da Força Espacial dos EUA.
Poucos dias depois, em 6 de junho, um outro problema foi registrado. Uma falha no fluxo de redefinição de senha expôs dados de contato de usuários de alto perfil, incluindo um e-mail e um número de telefone associados ao CEO da Meta, Mark Zuckerberg.
A Meta não relacionou esses episódios ao incidente registrado no Maine. O documento oficial se limita ao High Touch Support e aos 20.225 usuários afetados por aquele caminho específico. Para quem usa o Instagram, as medidas mais eficazes no momento são ativar a verificação em duas etapas, revisar os dispositivos conectados à conta e trocar a senha caso haja suspeita de acesso não autorizado.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.