Na última terça-feira, uma série de contas do Instagram, incluindo perfis de alto perfil como o da Casa Branca de Obama, foram aparentemente hackeadas. Embora eu tenha mais de uma década de experiência em identificar vulnerabilidades em sistemas de grande escala, essa situação é, sem dúvida, a mais absurda que já vi, quase "demais para ser verdade".
O processo de invasão é alarmantemente simples. Primeiro, o atacante precisa apenas do nome de usuário da conta. Em seguida, ele utiliza uma VPN ou proxy próximo à cidade do alvo para evitar que os algoritmos de segurança do Instagram levantem suspeitas. Esse dado pode ser facilmente obtido no perfil público da vítima. Assim que a solicitação parece vir da região correta, o hacker informa ao suporte da Meta que a conta foi hackeada e solicita que os códigos de verificação sejam enviados a um e-mail sob seu controle.
Uma vez que o AI do Instagram envia o código de segurança para o e-mail do atacante, ele apenas o utiliza para completar a verificação. Não há verificação adicional para garantir que o e-mail fornecido seja realmente um que o usuário tenha utilizado antes. A partir desse momento, o invasor recebe um novo link de redefinição de senha, obtendo total controle sobre a conta.
Curiosamente, o sistema de dois fatores (2FA) não oferece proteção nesse caso. O fluxo de recuperação de alta prioridade é tratado como uma redefinição total da conta pelo "verdadeiro" proprietário, fazendo com que o 2FA existente seja totalmente ignorado. As sessões ativas são revogadas e a senha é alterada sem qualquer notificação ao verdadeiro proprietário, que agora não consegue mais recuperar o acesso.
Além disso, grupos no Telegram surgiram oferecendo serviços de "assalto de contas" a preços elevados e prazos de entrega rápidos. Com nomes de usuário curtos valendo centenas de milhares a milhões de dólares, não é surpresa que esses serviços tenham se tornado populares.
Atualmente, os grupos do Telegram parecem ter silenciado, já que a Meta aparentemente corrigiu a falha. Contudo, esse método teve um período ativo de semanas, senão meses. A realidade de uma empresa avaliada em 1,5 trilhões de dólares não ter medidas de segurança robustas é tanto assustadora quanto hilária, considerando a simplicidade do ataque.
Por fim, após refletir sobre essa experiência, percebo que me aposentar na casa dos 30 anos não foi tão divertido quanto eu esperava. Se você está construindo algo interessante e precisa de ajuda, meu inbox está aberto.
Confira os últimos vídeos publicados no canal
O plano SECRETO das Big Techs para cobrar MUITO mais pela IA
BOLHA da IA ou NOVA era de crescimento EXPONENCIAL? O mercado está dividido
Nova IA da OpenAI traduz em TEMPO REAL e pode mudar o mundo dos negócios
Spec Driven Development (SDD): a habilidade que vai separar quem SOBREVIVE à IA
DeepSeek V4: o Open Source que está AMEAÇANDO GPT 5.5 e Opus 4.7
Prometeram Renda Universal… mas só veio desemprego?
Mythos Preview: o começo da AGI ou só mais hype?
Ele automatizou TUDO com IA… e pode virar bilionário sozinho
Programadores foram só o começo… agora a IA quer o topo
Multi-agentes, memória e IA eterna: o vazamento que mudou tudo
VIBE CODING vai acabar… e o que vem agora é muito mais SINISTRO
IA na Guerra: estamos criando algo mais PERIGOSO que a Bomba Atômica?
O dinheiro vai desaparecer? A era da IA pode mudar tudo
O Apocalipse do SaaS: Como a IA pode DESTRUIR o modelo bilionário do software
Bitcoin é software… e o software está morrendo (isso explica a queda?)
