A rede social Instagram encontra-se no centro de uma nova polémica relacionada com a privacidade e segurança dos seus utilizadores. A plataforma da Meta confirmou ter corrigido um erro que permitia a agentes maliciosos solicitar emails de redefinição de palavra-passe em massa, numa altura em que circulam alegações de que dados pertencentes a mais de 17 milhões de contas foram recolhidos e expostos online.
A situação gerou alarme entre a comunidade, especialmente após a Malwarebytes ter alertado para a existência de uma base de dados roubada a ser distribuída gratuitamente em fóruns de hacking. No entanto, a empresa mantém a sua posição de que os seus sistemas centrais não foram comprometidos.
Bug corrigido e a posição da Meta
Numa declaração oficial, um porta-voz da gigante tecnológica esclareceu à BleepingComputer que a empresa resolveu um problema que permitia a terceiros desencadear o envio de emails de recuperação de conta para alguns utilizadores. A empresa procurou tranquilizar o público, garantindo que "não houve violação dos sistemas" e que as contas permanecem seguras.
A recomendação oficial para quem recebeu estas comunicações não solicitadas é simples: ignorar e apagar as mensagens. A empresa pediu ainda desculpa por qualquer confusão que este fluxo inesperado de emails possa ter causado.
O que contêm os dados expostos?
Apesar das garantias de segurança da infraestrutura, a realidade é que existe um conjunto de dados com informações de 17.017.213 perfis a circular na web. O ficheiro inclui detalhes variados, como números de telefone, nomes de utilizador, nomes reais, moradas físicas, endereços de email e IDs do Instagram. É importante notar que nem todos os registos estão completos; alguns contêm apenas o ID e o nome de utilizador.
A origem desta informação permanece um ponto de debate. Enquanto o autor da publicação no fórum alega ter obtido os registos através de uma fuga na API em 2024, investigadores de segurança sugerem que se trata, muito provavelmente, de dados recolhidos (scraping) num incidente anterior, possivelmente em 2022, ou até uma compilação de fugas antigas, como a de 2017. A Meta reiterou não ter conhecimento de quaisquer incidentes de segurança envolvendo a sua API em 2022 ou 2024.
Como proteger a sua conta
A boa notícia no meio desta confusão é que a base de dados divulgada não contém palavras-passe. Isto significa que, tecnicamente, não existe uma necessidade imediata de alterar as credenciais de acesso apenas devido a este evento específico. No entanto, a exposição de emails e números de telefone abre a porta a outro tipo de ameaças.
Os utilizadores devem manter-se vigilantes contra tentativas de phishing e smishing (phishing via SMS). É comum que criminosos utilizem estas informações públicas para criar mensagens fraudulentas convincentes, tentando enganar as vítimas para que estas entreguem as suas credenciais. Se não solicitou nenhuma recuperação de conta, qualquer email ou código SMS recebido deve ser descartado. Para uma camada adicional de proteção, é fortemente recomendada a ativação da autenticação de dois fatores (2FA).
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech