A Meta garante que os seus sistemas não foram comprometidos, apesar de uma correção e de um alerta sobre exposição online de dados dos utilizadores.
A Meta corrigiu uma falha técnica que, alegadamente, permitia que terceiros dessem início ao envio massivo de emails de reposição de palavra‑passe, provocando confusão entre os utilizadores do Instagram. Essa situação levou a Malwarebytes comunicar um alerta para a circulação online de dados pertencentes a 17,5 milhões de contas. No entanto, a Meta insiste que não houve qualquer intrusão na sua infraestrutura.
O aviso da Malwarebytes gerou rapidamente alguma inquietação, sobretudo depois de um ficheiro com mais de 17 milhões de perfis ter começado a ser partilhado em vários fóruns obscuros. Esse pacote de informações inclui, alegadamente, nomes, números de telefone, endereços, emails e nomes de utilizador. O autor da partilha desta informação garante ter explorado uma vulnerabilidade da API em 2024, mas a Meta nega conhecer qualquer falha desse tipo, seja em 2024 ou no ano passado.
A rede social tentou, por isso, acalmar os utilizadores e assegura que este incidente se limitou apenas ao envio indevido de emails de redefinição da palavra-passe. A empresa informou ainda que não houve acesso indevido aos seus servidores e que as contas permanecem seguras, pedindo aos utilizadores que ignorem as mensagens recebidas.
Alguns especialistas em ciber-segurança que já analisaram o ficheiro acreditam que se trata de uma compilação de dados recolhidos ao longo de vários anos, possivelmente combinados com fugas antigas, como a de 2017, que expôs 6 milhões de contas. E até agora, ainda não surgiu qualquer prova que relacione o ficheiro com uma vulnerabilidade recente nos sistemas do Instagram. A inexistência de indícios de uma nova violação reforça a hipótese de que o ficheiro resulta de diversas fontes e não de um ataque direto aos servidores da Meta. Para além disso, esta distinção é relevante porque indica que as defesas internas da plataforma não foram ultrapassadas.
