De acordo com o 404 Media, em 1º de junho, a Meta confirmou que hackers exploraram uma falha de segurança em seus robôs de atendimento por IA para assumir com sucesso o controle de várias contas conhecidas do Instagram. As contas afetadas incluem a conta oficial do ex-presidente dos EUA no período da Casa Branca, a conhecida marca de maquiagem Sephora e a conta oficial do comandante-chefe sênior da Força Espacial dos EUA.
Etapas completas da cadeia de ataque: como o atendimento por IA foi contornado
De acordo com um vídeo compartilhado por uma comunidade de hackers e especialistas em segurança citados pelo 404 Media no Telegram, o fluxo do ataque foi confirmado desta vez:
Falsificação de localização: os atacantes usam VPN para falsificar a região/localização da rede como o mesmo país da conta-alvo
Envio de solicitação: enviar uma conversa para o robô de atendimento da Meta AI, pedindo que a conta-alvo seja vinculada ao novo endereço de e-mail fornecido pelo atacante
Recebimento do código de verificação: o robô de atendimento da Meta AI envia um código de verificação de 8 dígitos para a nova caixa de e-mail fornecida pelo atacante
Conclusão da tomada de controle: o atacante insere o código de verificação na interface de chat, obtém permissão para redefinir a senha e assume totalmente a conta IG-alvo
A explicação oficial da Meta aponta que, quando o e-mail da conta é alterado, o sistema deveria enviar ao e-mail original uma notificação com um link especial de restauração, mas a falha do robô de atendimento da Meta AI fez com que esse mecanismo não funcionasse corretamente.
Resposta oficial da Meta: falha corrigida, número de contas afetadas ainda não foi divulgado
A Meta confirmou que o incidente de segurança cibernética é verdadeiro, que a falha foi totalmente corrigida e que está ajudando as contas afetadas a reforçar a proteção. O total de contas afetadas até o momento da reportagem ainda não foi divulgado.
O assistente de atendimento da Meta AI foi lançado no início de 2026. Ele afirma que consegue ajudar os usuários com solicitações importantes como redefinição de senhas e recuperação de segurança de contas; meses após entrar no ar, eclodiu este ataque.
Contexto dos cortes: 20 de maio de 2026 anúncio de demissão de 8.000 pessoas
Mark Zuckerberg enviou um aviso de demissão aos funcionários do mundo em 20 de maio de 2026, cortando cerca de 8.000 funcionários (10% do total). A meta é reduzir custos operacionais, para fazer frente a despesas de capital com IA estimadas entre US$ 12,5 bilhões e US$ 14,5 bilhões, além de impulsionar uma gestão mais achatada.
De acordo com a reportagem do Wired, a Meta registrou no 1º trimestre de 2026 um recorde de lucro de quase US$ 27 bilhões, mas o ânimo dos funcionários internos caiu ao fundo do poço. Após confirmar que as contas foram atacadas, Huang Wenjin publicou: “Parabéns por a Meta ter demitido a equipe de confiança e segurança (T&S) e ter delegado o suporte às contas para robôs de IA fáceis de enganar para processarem automaticamente”. A Meta não forneceu explicações oficiais sobre o tamanho dos cortes na equipe de T&S nem sobre o impacto na capacidade de segurança cibernética.
Perguntas frequentes
Qual é o problema central da falha do robô de atendimento da Meta AI?
Conforme a reportagem do 404 Media, quando o robô de atendimento da Meta AI recebe uma solicitação de alteração do e-mail da conta, ele envia o código de verificação para a nova caixa de e-mail fornecida pelo atacante, sem impor a ativação obrigatória de um mecanismo de segurança que enviaria notificação ou link de restauração ao e-mail original. No fluxo normal, a alteração de e-mail deveria enviar uma notificação ao e-mail original, mas a implementação do atendimento por IA contornou essa verificação.
Quais contas conhecidas confirmaram que foram afetadas? A Meta divulgou o total de contas afetadas?
As contas conhecidas confirmadas como atingidas incluem a conta oficial do Instagram do ex-presidente dos EUA durante o período da Casa Branca, a marca de beleza Sephora e a conta oficial do comandante-chefe sênior da Força Espacial dos EUA. A Meta confirmou que o ataque foi real, mas até o momento da reportagem não havia divulgado o total de contas afetadas.
O plano de demissões da Meta e este incidente de segurança cibernética têm alguma relação direta?
A ex-funcionária da Meta, Jane Manchun Wong, apontou publicamente que, depois de demitirem o time de T&S, o suporte às contas passou a ser tratado por robôs de IA e citou isso como um dos fatores de fundo que permitiram que o ataque tivesse sucesso. A Meta não forneceu explicações oficiais sobre o tamanho específico dos cortes na equipe de T&S nem sobre o impacto dessa medida na capacidade geral de proteção de segurança cibernética.
