CEVIU Logo
Voltar

Ataques de prompt injection permitem sequestro de contas do Instagram via IA da Meta

Aprofundamento CEVIU

Aprofundamento

Esse não é um caso de falha no código do Instagram, mas sim na forma como a Meta projetou o assistente de IA para executar ações críticas, como vincular e-mails e disparar links de redefinição, com base em instruções não validadas. A vulnerabilidade foi ativada por uma combinação de três fatores: (1) a expansão da funcionalidade de suporte automatizado para todas as contas em março de 2026; (2) a ausência de verificação contextual robusta, geolocalização falsificada via VPN bastava para passar nos filtros iniciais; e (3) a capacidade do bot de aceitar comandos diretos sem confirmação humana ou MFA obrigatória. Em alguns casos, vídeos de selfie gerados por IA, feitos a partir de fotos públicas do perfil alvo, enganaram sistemas de verificação facial integrados ao fluxo.

O ataque se enquadra na classe LLM01:2025 da OWASP, a mais crítica para aplicações de IA, e tem taxa de sucesso entre 50% e 84%, segundo dados de 2025. Diferentemente de uma falha de autenticação tradicional, aqui o próprio sistema de defesa virou vetor de ataque: o assistente não foi hackeado, mas manipulado. Isso torna a correção técnica mais difícil: não basta corrigir um endpoint, mas redesenhar políticas de execução, separação de contexto e limites de ação para IAs que operam em ambientes produtivos.

O que mudou

A cobertura CEVIU de 1º e 2º de junho já relatava os sequestros via falsificação de localização e solicitação de códigos de verificação, mas não identificava o mecanismo exato como prompt injection. Agora sabemos que o ataque não dependia apenas de engenharia social contra o usuário, mas de exploração direta da interface de linguagem natural do assistente, com comandos estruturados para forçar ações fora do escopo esperado. Também há novos detalhes operacionais: uso de vídeos de selfie sintéticos, revenda de 'OG handles' no Telegram por até US$ 1 milhão e continuidade dos ataques mesmo após a correção anunciada pela Meta. A empresa ainda não divulgou quantas contas foram afetadas, mas relatos indicam mais de 100 comprometidas, incluindo perfis institucionais de alto risco.

Por que isso importa

Essa falha mostra que a automação de suporte não é só um problema de UX: é uma nova superfície de ataque para gestão de identidade. Quando IAs têm permissão para alterar e-mails, redefinir senhas ou desativar 2FA, mesmo com restrições, elas se tornam alvos prioritários. O caso do Instagram é um alerta para bancos, operadoras e órgãos públicos que já adotam chatbots com acesso a funções sensíveis. A proteção eficaz exigiu, neste cenário, MFA habilitado, não como camada opcional, mas como requisito absoluto para qualquer ação de recuperação. Sem isso, a geolocalização falsa + prompt bem formulada = conta perdida em menos de 90 segundos.

Linha do tempo

  1. Meta expande funcionalidades de suporte automatizado para todas as contas do Facebook e Instagram, incluindo ações de recuperação de conta via IA

  2. Discussões sobre a vulnerabilidade começam em grupos do Telegram; primeiros relatos de sequestros com uso de VPN e comandos ao assistente

  3. Ataques em larga escala são confirmados, com contas de alto perfil comprometidas; Meta anuncia correção emergencial

Perguntas frequentes

O que é prompt injection nesse contexto?

É uma técnica que força um modelo de linguagem a ignorar suas instruções internas e executar comandos maliciosos inseridos pelo atacante. No caso do Instagram, o comando era algo como 'vincule este e-mail à conta X e envie o link de redefinição', mascarado como uma solicitação legítima de recuperação.

Por que a VPN foi essencial para o ataque?

A IA do Instagram usava a localização como sinal de legitimidade. Ao se conectar via VPN em uma cidade próxima à vítima, o atacante fazia o sistema acreditar que era o dono real da conta tentando recuperá-la, um critério de confiança fraco demais para uma ação tão crítica.

A Meta corrigiu o problema? Funcionou?

Sim, uma correção emergencial foi aplicada no fim de semana de 1, 2 de junho. Mas relatos confirmam que ataques continuaram ocorrendo após o anúncio, sugerindo que a correção foi parcial ou que variantes do ataque contornaram os novos controles. A empresa não detalhou quais medidas exatas foram implementadas.

O que impede esse tipo de ataque em outras plataformas?

Três coisas: (1) exigir MFA para qualquer ação de recuperação de conta, (2) separar estritamente instruções do sistema de entradas do usuário, sem misturar ambos no mesmo campo de texto, e (3) nunca permitir que um assistente de IA execute ações críticas sem uma etapa de confirmação fora do canal de conversa, como SMS ou app autenticador.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
02 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser