Um enorme conjunto de dados contendo informações pessoais de aproximadamente 17 milhões de contas do Instagram apareceu em fóruns de hackers, provocando envio em massa de emails de redefinição de senha e levantando questões sobre a linha entre “scraping” de dados e violação de segurança.
Em 7 de janeiro de 2026, um ator de ameaça usando o pseudônimo “Solonik” publicou um conjunto de dados intitulado “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” no BreachForums, um notório fórum underground de hackers. A coleção, formatada em arquivos JSON e TXT, contém nomes de usuário, nomes completos, endereços de email (para aproximadamente 6,2 milhões de contas), números de telefone, endereços parciais e dados de geolocalização, mas notavelmente sem senhas.
A empresa de cibersegurança Malwarebytes descobriu o vazamento durante monitoramento rotineiro da dark web e alertou os usuários em 9 de janeiro. A empresa avisou que os atacantes já estavam explorando essas informações para campanhas de phishing e tentativas de sequestro de contas, especialmente abusando do sistema de redefinição de senha do Instagram.
Cibercriminosos roubaram informações sensíveis de 17,5 milhões de contas do Instagram, incluindo nomes de usuário, endereços físicos, números de telefone, endereços de email e mais. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) 9 de janeiro de 2026
O Instagram abordou o incidente em 11 de janeiro por meio de sua conta oficial no X (antigo Twitter): “Corrigimos um problema que permitia a terceiros solicitar emails de redefinição de senha para algumas pessoas. Nenhum sistema nosso foi comprometido e suas contas do Instagram estão seguras. Você pode ignorar esses emails — pedimos desculpas por qualquer confusão.”
Corrigimos um problema que permitia a terceiros solicitar emails de redefinição de senha para algumas pessoas. Nenhum sistema nosso foi comprometido e suas contas do Instagram estão seguras.
Você pode ignorar esses emails — pedimos desculpas por qualquer confusão.
— Instagram (@instagram) 11 de janeiro de 2026
A Meta sugeriu que os dados vazados representam informações antigas coletadas (“scraped”) que ressurgiram, em vez de uma nova intrusão.
Debate: scraping vs violação de segurança
Pesquisadores de segurança continuam divididos sobre como classificar o incidente. Enquanto a Meta insiste que nenhum sistema foi violado, a Malwarebytes o categorizou como uma violação de dados, observando que informações pessoais sensíveis estão circulando livremente em fóruns da dark web e sendo ativamente usadas por cibercriminosos.
Para os usuários afetados, a distinção importa menos do que a realidade prática: suas informações pessoais agora estão acessíveis a agentes mal-intencionados, independentemente de como foram obtidas. Alguns especialistas em cibersegurança sugerem que os dados podem se originar de um incidente de scraping de API de 2022, embora isso ainda não tenha sido confirmado.
Quais dados foram expostos
De acordo com múltiplos relatórios analisando o conjunto de dados vazado (nem todas essas informações estão presentes para cada registro):
- ID: 17.015.503
- Nome de usuário: 16.553.662
- E-mail: 6.233.162
- Número de telefone: 3.494.383
- Nome: 12.418.006
- Endereço: 1.335.727
Criticamente: Nenhuma senha foi incluída no vazamento.
O que você deve fazer agora
1. Verifique sua exposição
Visite Have I Been Pwned e pesquise usando o email ou número de telefone vinculado à sua conta do Instagram.
2. Ative a autenticação de dois fatores (2FA)
- Abra o app Instagram > Configurações > Central de Contas > Senha e segurança > Autenticação de dois fatores
- Escolha um app autenticador (Google Authenticator, Authy) em vez de SMS
- 2FA via SMS é vulnerável a ataques de troca de SIM
3. Atualize sua senha
- Vá em Configurações > Central de Contas > Senha e segurança > Alterar senha
- Crie uma senha forte e única (12+ caracteres, mistura de letras/números/símbolos)
- Nunca reutilize senhas entre plataformas. Use um gerenciador de senhas como Bitwarden ou 1Password
4. Revise a atividade de login
- Configurações > Central de Contas > Senha e segurança > Onde você fez login
- Verifique dispositivos ou locais desconhecidos
- Saia imediatamente de sessões suspeitas
5. Ignore emails de redefinição não solicitados
Exclua solicitações de redefinição de senha que você não iniciou. Faça quaisquer alterações de conta diretamente pelo app do Instagram, nunca via links de email.
6. Fique atento a phishing
As informações de contato vazadas permitem tentativas de golpe altamente direcionadas. Fique desconfiado de:
- Emails ou mensagens diretas alegando ser do Instagram/Meta
- Solicitações de códigos de verificação
- Mensagens que mencionam seus dados pessoais para parecer legítimas
7. Considere monitoramento de crédito
Se endereços parciais foram expostos, considere colocar um alerta de fraude junto às agências de crédito (Equifax, Experian, TransUnion).
Fato rápido para considerar
Este não é o primeiro vazamento de dados da Meta. A empresa foi multada em €265 milhões em 2022 por um vazamento de dados do Facebook em 2021 que afetou centenas de milhões de usuários. O incidente destaca tensões contínuas entre como as plataformas definem “vazamentos” e como pesquisadores de segurança avaliam o risco real para os usuários.
A Meta parece distinguir entre acesso não autorizado aos sistemas e a coleta de dados por meio de recursos legítimos, mas abusados.
Profissionais de segurança focam no resultado: informações de usuários expostas agora circulando em mercados criminais.
Segunda-Domingo: 10:00am - 1:00am (Horário de Brasília)
Deixe um comentário