Uma falha de segurança no próprio sistema de suporte da Meta transformou a inteligência artificial em uma porta de entrada para invasores. Segundo relatos que circularam em redes como Reddit e X no fim de semana anterior a 1º de junho, criminosos conseguiram sequestrar contas do Instagram explorando o chatbot de atendimento alimentado por IA — incluindo perfis de alto perfil.
O método era assustadoramente simples. O atacante iniciava uma conversa com o assistente de suporte e pedia para adicionar um novo endereço de e-mail ao perfil da vítima. Em vez de checar quem estava por trás do pedido, a IA enviava um código de verificação diretamente para o e-mail fornecido pelo próprio invasor. Bastava devolver esse código na conversa para que o sistema gerasse um botão de redefinição de senha — e, a partir daí, o controle total da conta mudava de mãos. Para mascarar a localização e driblar proteções automáticas, os criminosos usavam VPN.
A gravidade do caso fica evidente pela lista de vítimas relatadas: entre os perfis comprometidos estariam a conta da Casa Branca usada no mandato do ex-presidente Barack Obama, a do sargento-chefe da Força Espacial dos EUA e até o perfil da Sephora. Com o acesso, os invasores podiam alcançar mensagens diretas, fotos, vídeos, números de telefone e datas de nascimento — um prato cheio para golpes de engenharia social e extorsão.
O episódio acende um alerta importante sobre os riscos de delegar tarefas sensíveis, como recuperação de conta, a assistentes de IA sem camadas robustas de verificação de identidade. Para o usuário brasileiro, que vive boa parte da vida digital dentro do Instagram, a lição é direta: ativar a autenticação em dois fatores por aplicativo, revisar periodicamente os e-mails e dispositivos vinculados ao perfil e tratar com desconfiança qualquer notificação de mudança de cadastro que não tenha partido de você. A Meta afirma que a brecha já foi corrigida, mas não revelou o número exato de contas atingidas.
