Vulnerabilidade em Chatbot da Meta Permitiu o Roubo de Contas de Celebridades
Pesquisadores descobriram que um chatbot de IA da Meta foi explorado por meses para sequestrar contas do Instagram, incluindo as de celebridades e figuras públicas. A falha permitia que atacantes alterassem o e-mail associado a uma conta, contornando medidas de segurança.
MundiX News·03 de junho de 2026·6 min de leitura·👁 6 views
Pesquisadores de segurança revelaram que atacantes exploraram o assistente de IA da Meta (empresa cujas atividades são reconhecidas como extremistas e proibidas na Rússia) por meses para assumir o controle de contas no Instagram (bloqueado na Rússia e pertencente à Meta). Segundo reportagens, bastava conectar-se via VPN de uma região específica e convencer o chatbot a alterar o e-mail vinculado à conta.
A Meta lançou seu assistente de IA para suporte ao cliente na primavera de 2026, prometendo assistência 24 horas por dia para praticamente qualquer questão. No entanto, a prática demonstrou que conceder amplos poderes a um LLM sem verificações adicionais não foi a melhor ideia. De acordo com a publicação 404 Media, nos últimos dias, vídeos demonstrando essa vulnerabilidade foram amplamente disseminados em canais do Telegram de grupos de hackers e pesquisadores de segurança da informação. O ataque permitia o sequestro de contas populares e sua revenda no mercado negro. Somente em 29 de maio, os desenvolvedores da Meta lançaram um patch de emergência e corrigiram o problema.
Entre as vítimas, estavam contas de celebridades. Por exemplo, foram invadidas contas associadas à administração de Barack Obama e ao Sargento-Mor da Força Espacial dos EUA. Como resultado, imagens e mensagens pró-Irã foram publicadas em nome das contas comprometidas. Jornalistas relatam que o ataque era extremamente simples. Inicialmente, o atacante iniciava o procedimento de redefinição de senha, conectando-se via VPN de uma região que correspondia aproximadamente à localização da vítima. Em seguida, ele contatava o Suporte de IA da Meta e solicitava a alteração do endereço de e-mail vinculado à conta. Essencialmente, tratava-se de um clássico prompt injection, que forçava o assistente de IA a usar seus próprios privilégios em benefício do atacante.
Conforme observado pela publicação Neowin, a vulnerabilidade estava sendo explorada pelo menos desde fevereiro de 2026, e nesse período, os atacantes conseguiram comprometer milhares de contas. Nas últimas semanas, o problema ganhou mais destaque após a compromissão de várias contas conhecidas. Em particular, a pesquisadora Jane Manchun Wong relatou o sequestro de sua conta.
Em 31 de maio, o renomado analista de blockchain ZachXBT criticou o sistema de suporte de IA da Meta nas redes sociais, afirmando que ele possuía poderes excessivos e permitia a redefinição de senhas de qualquer usuário sem autenticação de dois fatores e verificação completa de identidade. Informações semelhantes foram publicadas pelo pesquisador Dark Web Informer, observando que o bug já havia sido corrigido até aquele momento.
De acordo com o CyberSec Guru, os atacantes visavam principalmente contas com nomes curtos e raros (como @hey e @jowo). O motivo é que o valor total dessas contas no mercado negro, segundo estimativas de especialistas, ultrapassava 1 milhão de dólares americanos. Mesmo um controle de curto prazo sobre tais contas poderia gerar lucro para os hackers através de revenda, fraude ou personificação de marcas conhecidas.
Pesquisadores descrevem o ocorrido como um exemplo do problema clássico de confused deputy (substituto confuso). Geralmente, refere-se a um programa com privilégios elevados que pode ser induzido a executar ações em nome de um usuário menos privilegiado. No entanto, neste caso, o LLM atuou como esse intermediário, cujo comportamento pôde ser influenciado por prompts especialmente elaborados.
Adicionalmente, como observa o conhecido jornalista de segurança Brian Krebs, o ataque não funcionava contra contas com autenticação multifator (MFA) ativada. A proteção era garantida até mesmo por códigos SMS de uso único, a forma mais simples de MFA disponível no Instagram.
Na opinião dos especialistas do CyberSec Guru, serviços de IA como este deveriam realizar verificações de identidade independentes antes de alterar dados de contas, limitar o número de operações de recuperação de acesso, monitorar ações anômalas e aplicar verificações rigorosas para operações críticas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores de segurança revelaram que atacantes exploraram o assistente de IA da Meta (empresa cujas atividades são reconhecidas como extremistas e proibidas na Rússia) por meses para assumir o controle de contas no Instagram (bloqueado na Rússia e pertencente à Meta). Segundo reportagens, bastava conectar-se via VPN de uma região específica e convencer o chatbot a alterar o e-mail vinculado à conta.
A Meta lançou seu assistente de IA para suporte ao cliente na primavera de 2026, prometendo assistência 24 horas por dia para praticamente qualquer questão. No entanto, a prática demonstrou que conceder amplos poderes a um LLM sem verificações adicionais não foi a melhor ideia. De acordo com a publicação 404 Media, nos últimos dias, vídeos demonstrando essa vulnerabilidade foram amplamente disseminados em canais do Telegram de grupos de hackers e pesquisadores de segurança da informação. O ataque permitia o sequestro de contas populares e sua revenda no mercado negro. Somente em 29 de maio, os desenvolvedores da Meta lançaram um patch de emergência e corrigiram o problema.
Entre as vítimas, estavam contas de celebridades. Por exemplo, foram invadidas contas associadas à administração de Barack Obama e ao Sargento-Mor da Força Espacial dos EUA. Como resultado, imagens e mensagens pró-Irã foram publicadas em nome das contas comprometidas. Jornalistas relatam que o ataque era extremamente simples. Inicialmente, o atacante iniciava o procedimento de redefinição de senha, conectando-se via VPN de uma região que correspondia aproximadamente à localização da vítima. Em seguida, ele contatava o Suporte de IA da Meta e solicitava a alteração do endereço de e-mail vinculado à conta. Essencialmente, tratava-se de um clássico prompt injection, que forçava o assistente de IA a usar seus próprios privilégios em benefício do atacante.
Conforme observado pela publicação Neowin, a vulnerabilidade estava sendo explorada pelo menos desde fevereiro de 2026, e nesse período, os atacantes conseguiram comprometer milhares de contas. Nas últimas semanas, o problema ganhou mais destaque após a compromissão de várias contas conhecidas. Em particular, a pesquisadora Jane Manchun Wong relatou o sequestro de sua conta.
Em 31 de maio, o renomado analista de blockchain ZachXBT criticou o sistema de suporte de IA da Meta nas redes sociais, afirmando que ele possuía poderes excessivos e permitia a redefinição de senhas de qualquer usuário sem autenticação de dois fatores e verificação completa de identidade. Informações semelhantes foram publicadas pelo pesquisador Dark Web Informer, observando que o bug já havia sido corrigido até aquele momento.
De acordo com o CyberSec Guru, os atacantes visavam principalmente contas com nomes curtos e raros (como @hey e @jowo). O motivo é que o valor total dessas contas no mercado negro, segundo estimativas de especialistas, ultrapassava 1 milhão de dólares americanos. Mesmo um controle de curto prazo sobre tais contas poderia gerar lucro para os hackers através de revenda, fraude ou personificação de marcas conhecidas.
Pesquisadores descrevem o ocorrido como um exemplo do problema clássico de confused deputy (substituto confuso). Geralmente, refere-se a um programa com privilégios elevados que pode ser induzido a executar ações em nome de um usuário menos privilegiado. No entanto, neste caso, o LLM atuou como esse intermediário, cujo comportamento pôde ser influenciado por prompts especialmente elaborados.
Adicionalmente, como observa o conhecido jornalista de segurança Brian Krebs, o ataque não funcionava contra contas com autenticação multifator (MFA) ativada. A proteção era garantida até mesmo por códigos SMS de uso único, a forma mais simples de MFA disponível no Instagram.
Na opinião dos especialistas do CyberSec Guru, serviços de IA como este deveriam realizar verificações de identidade independentes antes de alterar dados de contas, limitar o número de operações de recuperação de acesso, monitorar ações anômalas e aplicar verificações rigorosas para operações críticas.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
