Falha no suporte do Instagram abriu caminho para invasão de 20.225 contas
Vulnerabilidade no sistema de atendimento permitiu envio de links de recuperação a terceiros; perfis públicos e marcas estão na lista
Um erro em um serviço automatizado do Instagram foi explorado por invasores e resultou na possível tomada de 20.225 contas, segundo documentos citados por autoridades. A exploração ocorreu no fim de maio e foi corrigida rapidamente pela empresa no dia seguinte.
O que aconteceu — direto ao ponto
O mecanismo de atendimento, usado para ajudar quem perde acesso, passou a aceitar pedidos de redefinição sem confirmar se o e‑mail informado pertencia ao dono da conta. Com isso, links de recuperação foram enviados para endereços externos e permitiram que terceiros assumissem perfis sem precisar burlar métodos extras de segurança.
O incidente foi detectado em 31 de maio e, de acordo com registros oficiais citados, o trecho de código que permitia o problema foi desativado em 1º de junho. Nesse intervalo, as mensagens de redefinição chegaram a contas que não eram as donas originais.
Perfis afetados e alcance do problema
Entre as contas potencialmente impactadas estão perfis de instituições e marcas conhecidas, segundo a notificação divulgada. A lista inclui desde uma antiga conta associada à presidência dos EUA até perfis ligados à Força Espacial e à indústria de cosméticos.
O número total de contas citado no relatório aponta para um incidente de escala incomum em termos de plataformas sociais: mais de 20 mil perfis, abrangendo tanto usuários comuns quanto perfis de alto alcance.
Dados possivelmente expostos
A empresa que administra a plataforma comunicou que não há confirmação de acesso a todos os dados, mas o relatório aponta que informações como e‑mail, número de telefone, data de nascimento, mensagens e sinais de atividade poderiam ter sido vistas por agentes não autorizados.
Além disso, a própria geração indevida de links de recuperação e a necessidade de validade desses tokens de acesso aumentam a preocupação sobre ações realizadas durante o período em que a brecha esteve ativa.
Imagem: Divulgação
Medidas tomadas pela plataforma
Em resposta ao episódio, o trecho de código vulnerável foi removido do fluxo de atendimento. Links gerados de forma irregular foram invalidados e houve aplicação de verificações adicionais a contas consideradas de risco.
Também consta na documentação que a empresa notificou autoridades competentes e iniciou processos internos para revisar controles no serviço de suporte automatizado.
Repercussão e confiança em jogo
O episódio reacende debates sobre confiança em sistemas automatizados de atendimento que atuam diretamente em fluxos sensíveis, como recuperação de acesso. A presença de contas institucionais na lista evidencia os efeitos que falhas técnicas podem ter além do usuário individual.
Especialistas e entidades de proteção de dados acompanham o caso e aguardam mais detalhes sobre escopo e consequências. A rapidez na correção evitou amplificação, mas as dúvidas sobre exposição de dados persistem.
O que fica
O incidente expõe a fragilidade de controles específicos dentro de serviços amplamente utilizados e ressalta a necessidade de transparência no tratamento de brechas. Enquanto investigações internas e externas seguem em andamento, a ocorrência deve servir como ponto de atenção para plataformas e reguladores.
Gudyê GR6 é editor-chefe e especialista em tendências musicais e entretenimento na GR6, a maior produtora de funk do Brasil. Com anos de experiência no mercado fonográfico, Gudyê lidera a equipe de conteúdo trazendo as últimas notícias sobre música, cultura urbana. Autor do Post: Gudyê GR6
