Hackers Usam Bot de Suporte de IA da Meta para Roubar Contas do Instagram
Contas do Instagram, incluindo a da Casa Branca de Obama e da Força Espacial dos EUA, foram brevemente invadidas após um exploit que explorava um bot de suporte de IA da Meta. O ataque permitia que hackers redefinissem senhas adicionando um novo endereço de e-mail à conta.
MundiX News·02 de junho de 2026·4 min de leitura·👁 10 views
As contas do Instagram da Casa Branca de Obama e do Chefe Mestre Sargento da Força Espacial dos EUA foram brevemente invadidas com imagens e mensagens pró-iranianas durante o fim de semana, após instruções começarem a circular no Telegram mostrando como enganar o bot de "assistente de suporte de IA" da Meta para redefinir senhas de contas.
Uma captura de tela de um vídeo divulgado no Telegram alegando mostrar como o bot de suporte ao cliente de IA da Meta poderia ser enganado para redefinir a senha de um alvo. Em 31 de maio, espalhou-se a notícia em vários canais de mensagens instantâneas do Telegram de que o bot de IA da Meta adicionaria alegremente um endereço de e-mail a uma conta existente como parte do fluxo padrão de redefinição de senha do bot.
Um vídeo divulgado no Telegram por hackers pró-Irã alegou documentar um exploit notavelmente simples que parece ter envolvido o uso de uma conexão VPN com um endereço IP que está na cidade natal usual do alvo ou perto dela, solicitando uma redefinição de senha para a conta e, em seguida, optando por conversar com o assistente de suporte de IA da Meta. A partir daí, o vídeo mostra o atacante dizendo ao bot para vincular a conta em questão a um novo endereço de e-mail, após o qual o bot diligentemente enviou a esse endereço um código único que permitiu a redefinição da senha.
A conta do Telegram que postou o vídeo também vinculou capturas de tela de imagens, vídeos e mensagens pró-Irã que invadiram as contas hackeadas do Instagram, dizendo que hackers usaram o exploit para sequestrar vários nomes de contas valiosos (leia-se: curtos) do Instagram que supostamente têm um valor de revenda superior a meio milhão de dólares.
A Meta não respondeu aos pedidos de comentários sobre as alegações do vídeo, mas a empresa supostamente reconheceu que a conta inativa do Instagram da Casa Branca de Obama foi brevemente comprometida. O blog de segurança thecybersecguru.com relata que a Meta implementou um patch de emergência durante o fim de semana e esclareceu que nenhum banco de dados de back-end foi violado.
"O Instagram tem uma infraestrutura de suporte humano notoriamente fraca", escreveu Cybersecguru. "Recuperar uma conta bloqueada – especialmente uma de alto valor – pode levar semanas de idas e vindas com um sistema automatizado de tickets. A solução da Meta foi implantar uma camada de IA conversacional para lidar com fluxos de trabalho comuns de recuperação: religar um endereço de e-mail perdido, acionar uma redefinição de senha, verificar a propriedade da conta. O assistente, presumivelmente, deveria reduzir o atrito para usuários legítimos presos no inferno de acesso à conta."
Ian Goldin, um pesquisador de ameaças no Black Lotus Labs da Lumen, disse que estamos entrando em um território de segurança inexplorado à medida que mais grandes plataformas online começam a permitir que chatbots de IA lidem com solicitações sensíveis de recuperação de conta. Assim como os funcionários humanos de suporte ao cliente podem ser enganados socialmente para fornecer acesso não autorizado à conta de alguém, os bots de IA são igualmente ansiosos para ajudar e vulneráveis à persuasão e à artimanha, disse ele.
"Chatbots de IA criam novas superfícies de ataque interessantes, e é provável que vejamos muito mais desses tipos de ataques", disse Goldin. Garantir suas várias contas online significa aproveitar ao máximo a forma mais segura de autenticação multifator (MFA) oferecida (como uma passkey ou chave de segurança). Neste caso, mesmo usando a forma menos robusta de MFA que o Instagram oferece – um código único enviado via SMS – provavelmente teria bloqueado o exploit: Os hackers que divulgaram o vídeo no Telegram disseram que seu exploit não funcionou contra nenhuma conta que tivesse MFA habilitado.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
As contas do Instagram da Casa Branca de Obama e do Chefe Mestre Sargento da Força Espacial dos EUA foram brevemente invadidas com imagens e mensagens pró-iranianas durante o fim de semana, após instruções começarem a circular no Telegram mostrando como enganar o bot de "assistente de suporte de IA" da Meta para redefinir senhas de contas.
Uma captura de tela de um vídeo divulgado no Telegram alegando mostrar como o bot de suporte ao cliente de IA da Meta poderia ser enganado para redefinir a senha de um alvo. Em 31 de maio, espalhou-se a notícia em vários canais de mensagens instantâneas do Telegram de que o bot de IA da Meta adicionaria alegremente um endereço de e-mail a uma conta existente como parte do fluxo padrão de redefinição de senha do bot.
Um vídeo divulgado no Telegram por hackers pró-Irã alegou documentar um exploit notavelmente simples que parece ter envolvido o uso de uma conexão VPN com um endereço IP que está na cidade natal usual do alvo ou perto dela, solicitando uma redefinição de senha para a conta e, em seguida, optando por conversar com o assistente de suporte de IA da Meta. A partir daí, o vídeo mostra o atacante dizendo ao bot para vincular a conta em questão a um novo endereço de e-mail, após o qual o bot diligentemente enviou a esse endereço um código único que permitiu a redefinição da senha.
A conta do Telegram que postou o vídeo também vinculou capturas de tela de imagens, vídeos e mensagens pró-Irã que invadiram as contas hackeadas do Instagram, dizendo que hackers usaram o exploit para sequestrar vários nomes de contas valiosos (leia-se: curtos) do Instagram que supostamente têm um valor de revenda superior a meio milhão de dólares.
A Meta não respondeu aos pedidos de comentários sobre as alegações do vídeo, mas a empresa supostamente reconheceu que a conta inativa do Instagram da Casa Branca de Obama foi brevemente comprometida. O blog de segurança thecybersecguru.com relata que a Meta implementou um patch de emergência durante o fim de semana e esclareceu que nenhum banco de dados de back-end foi violado.
"O Instagram tem uma infraestrutura de suporte humano notoriamente fraca", escreveu Cybersecguru. "Recuperar uma conta bloqueada – especialmente uma de alto valor – pode levar semanas de idas e vindas com um sistema automatizado de tickets. A solução da Meta foi implantar uma camada de IA conversacional para lidar com fluxos de trabalho comuns de recuperação: religar um endereço de e-mail perdido, acionar uma redefinição de senha, verificar a propriedade da conta. O assistente, presumivelmente, deveria reduzir o atrito para usuários legítimos presos no inferno de acesso à conta."
Ian Goldin, um pesquisador de ameaças no Black Lotus Labs da Lumen, disse que estamos entrando em um território de segurança inexplorado à medida que mais grandes plataformas online começam a permitir que chatbots de IA lidem com solicitações sensíveis de recuperação de conta. Assim como os funcionários humanos de suporte ao cliente podem ser enganados socialmente para fornecer acesso não autorizado à conta de alguém, os bots de IA são igualmente ansiosos para ajudar e vulneráveis à persuasão e à artimanha, disse ele.
"Chatbots de IA criam novas superfícies de ataque interessantes, e é provável que vejamos muito mais desses tipos de ataques", disse Goldin. Garantir suas várias contas online significa aproveitar ao máximo a forma mais segura de autenticação multifator (MFA) oferecida (como uma passkey ou chave de segurança). Neste caso, mesmo usando a forma menos robusta de MFA que o Instagram oferece – um código único enviado via SMS – provavelmente teria bloqueado o exploit: Os hackers que divulgaram o vídeo no Telegram disseram que seu exploit não funcionou contra nenhuma conta que tivesse MFA habilitado.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
