IA da Meta ajudou golpistas a roubarem perfis

2 de junho de 2026

hacker, Instagram, Meta, Segurança e PrivacidadeComentários desativados

IA da Meta ajudou golpistas a roubarem perfis

IA de suporte forneceu códigos de verificação e alterou e-mails para golpistas (ilustração: Vitor Pádua/Tecnoblog)

Resumo

Hackers aproveitaram uma falha de segurança do chatbot de suporte com IA da Meta e conseguiram invadir contas no Instagram.
Criminosos usaram o assistente de suporte para alterar o e-mail cadastrado e receberam códigos de verificação para redefinir senhas dos perfis.
A Meta informou que corrigiu a falha que permitia esse acesso, mas nega que seus sistemas tenham sido invadidos.

Hackers conseguiram invadir contas no Instagram após manipular o assistente de suporte com inteligência artificial da Meta. Os ataques foram registrados ao menos desde o último fim de semana e atingiram perfis comerciais e contas de figuras públicas, com grande número de seguidores.

Segundo relatos nas redes sociais, os criminosos exploravam uma falha no chatbot de suporte para alterar o e-mail cadastrado nas contas das vítimas. Depois disso, conseguiam receber códigos de verificação, redefinir senhas e assumir o controle dos perfis, mesmo em casos protegidos por autenticação de dois fatores.

Os invasores miraram principalmente contas raras — aquelas em que o usuário conseguiu registrar um termo popular ou apenas o primeiro nome — e perfis oficiais. As contas invadidas estariam sendo vendidas através do Telegram.

A Meta alega ter corrigido uma falha que permitia a terceiros solicitar e-mails de redefinição de senha, mas nega que seus sistemas tenham sido invadidos. Em resposta a uma publicação na rede social X, o porta-voz da empresa, Andy Stone, também negou que perfis de autoridades mundiais tenham sido afetados.

Para analistas de segurança do site The Cybersec Guru, porém, a invasão direta dos bancos de dados nunca foi o ponto, já que os perfis foram sequestrados por uma falha no fluxo de suporte.

Como aconteceu?

De acordo com vídeos e capturas de tela compartilhados em grupos de segurança no Telegram, os golpistas começavam usando uma VPN ou proxy residencial para simular uma localização próxima à do alvo. Em seguida, abriam um chat com assistente de suporte da Meta AI e pediam a troca do e-mail vinculado ao perfil.

O invasor dizia o nome de usuário da vítima, informava um novo endereço de e-mail controlado por ele e prometia enviar o código de confirmação. Segundo os relatos, o assistente aceitava o pedido até mesmo sem uma checagem paralela com o verdadeiro dono da conta.

Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj— Dark Web Informer (@DarkWebInformer) June 1, 2026

O código de oito dígitos era enviado ao e-mail do invasor e, depois de ser inserido no chat, o sistema liberava a redefinição da senha. Nota-se, aliás, que o caso sequer pode ser considerado uma injeção de prompt, já que os hackers não precisavam fazer com que a IA contrariasse barreiras de segurança — elas, aparentemente, nem existiam.

Os posts também indicam que, em alguns casos, o sistema de verificação de identidade acionava uma checagem biométrica. Nessas situações, os criminosos teriam usado vídeos gerados por IA com base em fotos das vítimas.

Risco de autonomia à IA

Meta apostou na IA para solucionar problemas diretamente com usuários (ilustração: Vitor Pádua/Tecnoblog)

De acordo com o site 404 Media, a falha ocorre poucos meses após a Meta expandir o suporte com IA para contas do Facebook e Instagram.

A Meta apresentou o chatbot como uma forma de agilizar processos de recuperação e reforçar a segurança, após ser alvo frequente de críticas pelo suporte limitado em casos de invasão e perda de contas, em que muitas vezes não há sequer a possibilidade de falar com um atendente humano.

O problema, no entanto, é que conceder tantas permissões a um sistema automatizado faz com que qualquer falha de validação tenha potencial para causar danos significativos. Como lembra o Cybersec Guru, o Projeto Aberto de Segurança em Aplicações Web (OWASP) recomenda desde 2023 que sistemas de IA não executem ações sensíveis sem supervisão ou validação humana.

IA da Meta ajudou golpistas a roubarem perfis

IA da Meta ajudou golpistas a roubarem perfis
Fonte: Tecnoblog

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

IA da Meta ajudou golpistas a roubarem perfis

Tags:

Share this post: