CEVIU Logo
Voltar
🔓CEVIU

A vulnerabilidade mais inusitada do Instagram: IA de suporte virava cúmplice de invasores

Aprofundamento CEVIU

Aprofundamento

A falha não era um bug de código, mas uma falha de desenho: o assistente de IA do Instagram tinha permissão para alterar o e-mail principal da conta, uma ação sensível, sem validar se o novo endereço pertencia ao usuário legítimo ou se havia histórico de uso naquela conta. Isso aconteceu porque o sistema confiava cegamente em duas pistas falsificáveis: localização (via VPN) e a própria solicitação feita no chat, sem cruzar dados com logs anteriores, métodos de verificação prévios ou até mesmo o domínio do e-mail original. A IA processava o pedido como se fosse uma interação humana legítima, seguindo instruções maliciosas inseridas por meio de prompt injection, técnica que já havia sido documentada em outros contextos, como o ataque ao Gemini via notificações do WhatsApp, mas nunca antes usada com sucesso em escala contra um sistema de recuperação de contas crítico.

O fato de o exploit ter persistido mesmo após o anúncio oficial de correção mostra que a atualização foi parcial: enquanto a Meta bloqueou o fluxo principal no site, versões móveis e APIs internas ainda aceitavam os mesmos comandos até 3 de junho. Relatos em canais de Telegram confirmam que hackers testaram e validaram o ataque em tempo real nesses dois dias, o que sugere que a correção foi aplicada em etapas, sem rollback completo nem monitoramento proativo de tentativas suspeitas no canal de IA.

O que mudou

Na cobertura anterior do CEVIU de 2 de junho, o foco estava na descrição inicial do vetor de ataque e na classificação como 'falha crítica'. Agora sabemos que não foi apenas um erro isolado: foi uma falha estrutural no modelo de operação da IA de suporte, que teve acesso direto a funções privilegiadas de gerenciamento de contas via API. Antes, falávamos em 'brecha'; agora é claro que o problema era a ausência de camadas de autorização contextual, como histórico de login, padrão de comportamento ou vinculação entre e-mail antigo e novo. Também mudou a dimensão do impacto: contas de alto perfil como a de Barack Obama e da Força Espacial dos EUA foram comprometidas, algo não mencionado nos primeiros relatos.

Por que isso importa

Esse caso não é só sobre o Instagram: é o primeiro exemplo público de uma IA de suporte sendo usada como ferramenta de ataque em larga escala, com consequências reais, desde roubo de identidade digital até manipulação de contas institucionais. Mostra que automação em segurança não é sinônimo de proteção; pode ser um alvo mais fácil se não for projetada com defesas específicas contra engenharia conversacional. Para desenvolvedores e SREs, o alerta é prático: qualquer IA que tenha acesso a APIs de mudança de estado crítico precisa de validações explícitas, não apenas de identidade, mas de intenção, contexto e consistência histórica.

Linha do tempo

  1. Exploração do Google Family Link revela fragilidade em lógica de idade para contornar 2FA

  2. Descoberta e divulgação inicial da vulnerabilidade no suporte de IA do Instagram

  3. Meta anuncia correção oficial da falha no sistema de IA de suporte

  4. Relatos confirmam que o exploit ainda funcionava em versões móveis e APIs

Perguntas frequentes

Como o ataque funcionava na prática?

O invasor usava uma VPN para simular estar perto da vítima, iniciava um processo de recuperação de conta e, ao conversar com o assistente de IA, solicitava a alteração do e-mail associado à conta. O sistema enviava um código de verificação para esse novo e-mail, permitindo ao atacante redefinir a senha sem precisar do acesso físico ao dispositivo ou da segunda etapa da autenticação.

Por que a autenticação de dois fatores (2FA) não impediu o ataque?

A 2FA só bloqueia quem tenta acessar diretamente a conta. Aqui, o atacante não entrava na conta, ele enganava a IA para mudar o e-mail de recuperação. Uma vez com o novo e-mail vinculado, o próprio sistema da Meta gerava o link de redefinição, contornando totalmente a necessidade de passar pela 2FA.

A Meta já corrigiu de verdade?

Sim, mas com atraso e de forma fragmentada. O comunicado saiu em 2 de junho, mas relatos confirmados indicam que o exploit continuou funcionando em algumas interfaces até 3 de junho. A correção envolveu limitar o acesso da IA a funções de alteração de e-mail e adicionar validações baseadas em histórico de uso, não apenas em tempo real.

Esse tipo de ataque pode acontecer em outros serviços?

Sim. Qualquer plataforma que use IA para operações críticas, como recuperação de conta, redefinição de senha ou mudança de dados cadastrais, está exposta ao mesmo risco, especialmente se não exigir múltiplas fontes de confirmação. O caso do Gemini comprometido via notificações do WhatsApp mostra que a injeção de prompt é uma ameaça transversal a sistemas conversacionais.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU
Publicado
02 de junho de 2026
Editoria
CEVIU

Quer receber mais sobre CEVIU?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser