Mais...
    InícioTecnologiaDados de 17,5 milhões de utilizadores do Instagram expostos na dark web
    Tecnologia

    Dados de 17,5 milhões de utilizadores do Instagram expostos na dark web

    Malwarebytes confirma violação massiva que inclui emails, moradas e números de telefone

    Por Helder Archer

    Post Trauma pv screenshot PC computador

    Milhões de utilizadores do Instagram acordaram esta semana para um cenário alarmante. A partir de 8 de janeiro de 2026, começaram a receber emails de redefinição de password que nunca solicitaram. O que parecia inicialmente uma falha técnica revelou-se algo bem mais grave: uma violação de dados que afeta 17,5 milhões de contas.

    A Malwarebytes, empresa de cibersegurança, descobriu a fuga durante uma monitorização de rotina na dark web. Os dados roubados incluem nomes de utilizador, moradas físicas, números de telefone, emails e identificadores de conta. A informação já está a circular gratuitamente em fóruns de hackers, disponível para qualquer cibercriminoso explorar.

    Como aconteceu a violação

    O conjunto de dados foi publicado no BreachForums a 7 de janeiro de 2026 por um utilizador com o pseudónimo Solonik. A publicação oferecia mais de 17 milhões de registos em formatos JSON e TXT, alegadamente obtidos através de uma falha na API do Instagram que terá ocorrido em 2024.

    A estrutura dos ficheiros sugere que os dados foram extraídos diretamente de respostas da API da plataforma, possivelmente através de endpoints mal configurados ou vulnerabilidades em integrações de terceiros. Amostras verificadas por investigadores confirmam a presença de informação detalhada, incluindo números de telefone internacionais e moradas parciais.

    Num alerta enviado aos seus clientes, a Malwarebytes afirmou: “Esta semana, a Malwarebytes descobriu que hackers roubaram a informação sensível de 17,5 milhões de contas do Instagram. Completa com nomes de utilizador, moradas físicas, números de telefone, emails e mais, estes dados podem ser abusados por cibercriminosos para se fazerem passar por marcas de confiança, enganar utilizadores e roubar as suas passwords”.

    A onda de emails de redefinição

    Os emails que os utilizadores receberam não são falsos. São mensagens legítimas do Instagram, enviadas a partir do endereço oficial security@mail.instagram.com. O problema é que foram os atacantes a desencadear estes pedidos de redefinição usando os dados roubados.

    Os cibercriminosos estão a explorar o mecanismo de recuperação de password da plataforma de várias formas. Alguns testam quais as credenciais ainda válidas, outros tentam enganar utilizadores para que entreguem os seus códigos de autenticação de dois fatores. A combinação de emails e números de telefone expostos abre ainda a porta a ataques de SIM swapping.

    As mensagens começaram a chegar por volta das 4h ou 5h da manhã (hora da costa leste dos EUA) de 8 de janeiro, gerando confusão generalizada. Muitos utilizadores recorreram ao Reddit e ao X (antigo Twitter) para perceber se estavam a ser alvo de phishing. A resposta, infelizmente, revelou-se mais complexa: os emails eram reais, mas o gatilho partiu de quem roubou os dados.

    Até 10 de janeiro de 2026, a Meta não emitiu qualquer comunicado oficial sobre a violação. Pedidos de comentário de várias publicações ficaram sem resposta, e não existe qualquer referência ao incidente nas páginas de segurança ou nas redes sociais da empresa.

    Este silêncio deixa milhões de utilizadores sem orientação oficial sobre como proceder. Especialistas em cibersegurança alertam que a falta de comunicação aumenta o risco, já que os utilizadores ficam mais vulneráveis a tentativas de phishing que se fazem passar por comunicações oficiais da Meta.

    A Malwarebytes disponibilizou uma ferramenta gratuita, o Digital Footprint Portal, onde os utilizadores podem verificar se o seu email aparece no conjunto de dados que sofreram leak.

    O que fazer agora

    Os especialistas recomendam ação imediata, mesmo para quem não tem a certeza se foi afetado:

    1. Não clicar em links de emails: Mesmo que pareçam oficiais, as campanhas de phishing já estão ativas
    2. Alterar a password manualmente: Aceder à aplicação do Instagram e mudar a password através de Definições → Centro de Contas → Password e Segurança
    3. Ativar autenticação de dois fatores: Preferir aplicações autenticadoras em vez de SMS, que são vulneráveis a SIM swapping
    4. Rever dispositivos autorizados: Verificar no Centro de Contas do Meta quais os dispositivos com acesso à conta
    5. Criar passwords únicas: Usar pelo menos 16 caracteres com combinação de símbolos e números

    A violação surge num momento em que a indústria debate intensamente a segurança das redes sociais. Este não é o primeiro incidente envolvendo a Meta. Em 2019, uma base de dados desprotegida expôs 49 milhões de registos de influenciadores. Em 2021, 214 milhões de utilizadores de várias plataformas viram os seus dados vazados.

    O padrão recorrente aponta para riscos de terceiros e configurações inadequadas em serviços de cloud que agregam dados. A questão agora é quanto tempo levará a Meta a pronunciar-se e que medidas tomará para proteger os milhões de utilizadores afetados.

    Helder Archer
    Helder Archer
    Fundou o OtakuPT em 2007 e desde então já escreveu mais de 60 mil artigos sobre anime, mangá e videojogos.

    Artigos Relacionados

    Subscreve
    Notify of
    guest

    0 Comentários
    Mais Antigo
    Mais Recente
    Inline Feedbacks
    View all comments
    - Publicidade -

    Notícias

    Carregar mais

    Populares

    OtakuPT é o maior site de Portugal sobre anime e mangá, e também falamos sobre videojogos e tecnologia!

    Contacto: admin@otakupt.com

    Em Destaque

    Categorias

    © 2007 - 2024 OtakuPT, todos os direitos reservados