logo-staffia-agentes-inteligentes-0
Experimente Agora

Hackers sequestram contas do Instagram ao enganar chatbot de suporte da Meta; empresa diz ter corrigido falha

2/junho/2026

Hackers exploraram uma falha no assistente de suporte com IA da Meta para tomar o controle de contas do Instagram, inclusive perfis de alto perfil, ao fazer o chatbot alterar o e-mail cadastrado e liberar a redefinição de senha. O ataque permitia que invasores acessassem contas sem precisar do e-mail original do titular. A Meta afirma que o problema foi identificado e corrigido.

O caso expõe riscos concretos da automação no atendimento ao usuário: processos sensíveis de verificação de identidade foram delegados ao chatbot, que pôde ser induzido a contornar etapas de segurança. Especialistas alertam que, quando fluxos críticos de recuperação de conta são intermediados por sistemas automatizados, a validação e a auditoria precisam ser reforçadas.

Como o golpe funcionava

O vetor de ataque partia de um chat com o “AI Support Assistant” da Meta. Os criminosos solicitavam a inclusão de um novo endereço de e-mail em uma conta alvo. Em vez de verificar o contato já associado ao perfil, o chatbot enviava um código de confirmação para o e-mail indicado pelo próprio invasor. Após o código ser informado de volta no chat, o sistema apresentava um botão de “Reset Password”, permitindo a tomada de controle.

Um vídeo de demonstração revisado por jornalistas mostrou que o e-mail com o código de verificação chegava à caixa controlada pelo atacante. Em outra camada do golpe, os criminosos usavam uma VPN para simular a mesma região do titular da conta, numa tentativa de reduzir alertas automáticos de risco baseados em localização.

Quem foi atingido

As vítimas incluíram perfis de alta visibilidade. Entre os casos citados publicamente estão a conta ligada à Casa Branca na era Obama, o Chief Master Sergeant da Força Espacial dos EUA, John Bentivegna, e a pesquisadora de segurança Jane Wong. O número total de contas atingidas não foi divulgado.

O impacto para perfis notórios costuma ser elevado: além de danos reputacionais e perda temporária de acesso, sequestradores de contas frequentemente exploram a audiência para golpes de engenharia social, disseminam links maliciosos e podem exigir resgate para devolução do perfil.

O que a falha revela sobre chatbots de suporte

Assistentes com IA são eficientes para triagem e respostas rápidas, mas não devem decidir sozinhos sobre alterações críticas de propriedade de conta. Três pontos se destacam:

  • Validação de identidade insuficiente: enviar código para um endereço recém-informado pelo solicitante cria uma brecha óbvia quando a identidade não está comprovada.
  • Automação sem supervisão: fluxos “fim a fim” sem checkpoints humanos em mudanças sensíveis ampliam o raio de ataque.
  • Detecção de anomalias: uso de VPN para replicar a região do titular ilustra que sinais isolados (como geolocalização) não bastam; é preciso correlação de múltiplos fatores de risco.

Riscos e implicações para marcas e criadores

Para empresas, influenciadores e órgãos públicos, a interrupção de um perfil pode atingir atendimento, campanhas e credibilidade. Sequestradores costumam alterar e-mail e telefone, tirar o perfil do ar, trocar o nome de usuário e ativar golpes de venda falsa ou phishing. O tempo de resposta torna-se crítico, e a dificuldade de contato com suporte humano agrava perdas.

Do lado das plataformas, o episódio reforça que mecanismos de recuperação de conta e mudanças de propriedade precisam de trilhas de auditoria, validação multifatorial e gatilhos que acionem revisão humana quando regras de negócio forem contrariadas por exceções “convincentes” no chat.

Como se proteger agora

Fortaleça a segurança da conta

  • Ative autenticação em dois fatores, preferencialmente via app autenticador. Evite SMS quando possível.
  • Revise e confirme o e-mail e o número de telefone cadastrados; remova contatos que você não reconheça.
  • Cheque a atividade de login recente e encerre sessões desconhecidas.
  • Guarde códigos de recuperação em local seguro e atualizado.

Reduza a superfície de ataque

  • Proteja o e-mail principal vinculado ao Instagram com senha forte e 2FA.
  • Limite acessos de terceiros e revise permissões em ferramentas de gestão e contas conectadas.
  • Evite compartilhar credenciais; use perfis de função e o Business Manager para delegar acesso.

Reaja rápido a sinais de comprometimento

  • Suspeite de e-mails e DMs sobre redefinição de senha que você não solicitou.
  • Se vir alterações inesperadas de e-mail ou telefone, inicie imediatamente o fluxo oficial de recuperação.
  • Priorize canais de suporte verificados. Em mudanças críticas de propriedade, busque atendimento humano.

O que diz a Meta e os próximos passos

Um porta-voz do Instagram afirmou que a falha foi corrigida após vir à tona. A empresa não detalhou quantas contas foram afetadas nem os mecanismos técnicos ajustados, mas a confirmação de correção indica que o fluxo do assistente passou por mudanças para impedir a repetição do problema.

Para usuários e marcas, o episódio funciona como alerta: sempre que um chatbot for o “porteiro” de processos sensíveis, o padrão deve ser desconfiar e verificar. Plataformas tendem a ampliar o uso de IA em suporte, e isso exige desenho de produto com salvaguardas claras, monitoramento constante de abusos e possibilidade de intervenção humana nos pontos de maior risco.

Enquanto investigações e melhorias continuam, reforçar camadas de proteção e revisar contatos de recuperação permanece a melhor defesa contra sequestros de conta e outras fraudes associadas.

Fonte: https://techcrunch.com/2026/06/01/hackers-hijacked-instagram-accounts-by-tricking-meta-ai-support-chatbot-into-granting-access/

Fale com a Lia

Olá 👋, para iniciarmos o atendimento nos informe seu nome e telefone

Ao clicar no botão iniciar conversa, você será direcionado para o nosso Whatsapp e um de nossos atendentes lhe atenderá  em seguida.