O Instagram negou que seus sistemas tenham sido invadidos após usuários relatarem receber e-mails inesperados de redefinição de senha. As mensagens, que pareciam ser notificações legítimas de recuperação de conta, geraram preocupações de que as informações da conta pudessem ter sido comprometidas. O Instagram afirmou que a atividade estava ligada a um problema técnico que afetava o processo de redefinição de senha, e não a acesso não autorizado a sistemas internos.
Usuários relataram receber e-mails de redefinição de senha que não solicitaram, em alguns casos várias vezes em um curto período. As notificações foram enviadas pelo fluxo de trabalho padrão de recuperação do Instagram, que é projetado para ajudar os titulares da conta a recuperar o acesso caso esqueçam a senha. O Instagram afirmou que os e-mails foram acionados por uma parte externa, mas isso não significava que contas foram comprometidas ou que as senhas foram expostas.
Segundo a empresa, o incidente envolveu um problema que permitiu que mensagens de redefinição de senha fossem geradas sem login ou comprometimento da conta bem-sucedidos. O Instagram disse que resolveu o problema e restaurou o comportamento normal da função de reset. A empresa aconselhou os usuários a ignorarem os e-mails de redefinição que não iniciaram e a evitar interagir com mensagens suspeitas.
Os relatos surgiram junto com alegações de que um grande conjunto de dados conectado a contas do Instagram estava sendo divulgado em espaços de cibercrime. Essas listagens normalmente alegam que informações pessoais foram obtidas e estão disponíveis para venda ou distribuição. A Meta, empresa-mãe do Instagram, afirmou que não encontrou evidências de uma nova violação ligada à atividade de redefinição de e-mail e confirmou que os dois problemas não estavam conectados.
Embora o Instagram tenha afirmado que seus sistemas internos não foram invadidos, e-mails inesperados com redefinição de senha ainda podem criar riscos de segurança para os usuários. Especialistas em cibersegurança observam que atacantes podem usar requisições automáticas para gerar notificações de reset repetidas, seja para assediar usuários ou para aumentar a probabilidade de alguém clicar em um link em uma mensagem sem verificá-lo. Tentativas repetidas de recuperação de conta também podem confundir, especialmente se os usuários acreditarem que sua conta está sob ataque direto.
Pesquisadores de segurança também alertaram que mensagens relacionadas à recuperação de contas são frequentemente usadas em tentativas de phishing. E-mails fraudulentos podem imitar notificações legítimas de reset e direcionar usuários para páginas de login falsas projetadas para capturar credenciais. Mesmo quando um e-mail de redefinição é genuíno, os usuários são aconselhados a acessar sua conta pelo aplicativo ou site oficial do Instagram, em vez de clicar em links de mensagens inesperadas.
O Instagram incentivou os usuários a revisarem as configurações de segurança da conta como precaução. Os passos recomendados incluem usar uma senha forte e única, habilitar a autenticação multifator e verificar atividades de login desconhecidas. Também é aconselhado os usuários a confirmar se o endereço de e-mail e o número de telefone associados à sua conta estão corretos, pois esses dados são usados para recuperação e verificação.
A Meta já aconselhou anteriormente os usuários a tratarem mensagens de segurança não solicitadas como um sinal de alerta e a evitar compartilhar dados de login por meio de sites terceirizados. A empresa também recomendou que os usuários relatem e-mails e mensagens suspeitos por meio das ferramentas da plataforma, sempre que possível.
O Instagram disse que o problema da redefinição de senha foi resolvido. O incidente destaca como mudanças ou fraquezas nos sistemas de recuperação de contas podem gerar preocupação generalizada, especialmente quando coincidem com relatos separados de vazamentos de dados circulando online.