De acordo com a 404 Media, a 1 de junho, a Meta confirmou que os hackers exploraram uma vulnerabilidade nos seus bots de apoio ao cliente com IA, conseguindo assumir o controlo de várias contas de Instagram conhecidas. As contas afetadas incluem a conta oficial associada ao período da Casa Branca do antigo presidente dos EUA, Barack Obama; a conhecida marca de maquilhagem Sephora; e a conta oficial do comandante-mor sargento da Força Espacial dos EUA.
Cadeia de ataque completa: como o bot de apoio ao cliente com IA foi contornado
Segundo um vídeo partilhado no Telegram por uma comunidade hacker e especialistas em cibersegurança citados pela 404 Media, o fluxo de ataque desta vez foi confirmado:
Falsificação de localização: os atacantes usam uma VPN, disfarçando a localização da rede para a mesma região do país da conta-alvo
Envio do pedido: enviar uma conversa ao bot de apoio ao cliente com IA da Meta, pedindo que a conta-alvo seja ligada ao novo endereço de e-mail fornecido pelos atacantes
Receção do código de verificação: o bot de apoio ao cliente com IA da Meta envia um código de verificação de 8 dígitos para a nova caixa de correio fornecida pelos atacantes
Conclusão da tomada de controlo: os atacantes inserem o código de verificação na interface de chat, obtendo permissões para redefinição de palavra-passe e assumindo totalmente o controlo das contas IG visadas
A explicação oficial da Meta indica que, quando o e-mail da conta é alterado, o sistema deveria enviar uma notificação para a caixa de correio original, com uma ligação de restituição especial. No entanto, a vulnerabilidade do bot de apoio ao cliente com IA da Meta fez com que esse mecanismo não fosse ativado corretamente.
Resposta oficial da Meta: vulnerabilidade corrigida, número de contas afetadas ainda não divulgado
A Meta confirmou que o incidente de cibersegurança é real, que a vulnerabilidade foi totalmente corrigida e que está a ajudar as contas afetadas a reforçar a proteção. O total de contas afetadas, até ao momento da publicação, ainda não foi divulgado.
O assistente de apoio ao cliente com IA da Meta foi lançado no início de 2026, com a promessa de ajudar os utilizadores a tratar pedidos fundamentais como redefinição de palavra-passe e recuperação de segurança da conta. Meses após o lançamento, eclodiu rapidamente o ataque em causa.
Contexto de despedimentos: anunciado despedimento de 8.000 pessoas a 20 de maio de 2026
A 20 de maio de 2026, Mark Zuckerberg enviou uma notificação de despedimento aos funcionários a nível global, despedindo cerca de 8.000 trabalhadores (10% do total), com o objetivo de reduzir custos operacionais, para suportar despesas de capital em IA estimadas em 125 a 145 mil milhões de dólares, e promover uma gestão mais horizontal.
Segundo a 404 Media, a Meta estabeleceu, na primeira trimestre de 2026, um recorde de lucros de perto de 27 mil milhões de dólares, mas a moral dos funcionários internos caiu para o fundo do poço. Huang Wenjin, ao confirmar que a conta foi alvo de um ataque, declarou publicamente: «Parabéns por a Meta ter despedido a equipa de Confiança e Segurança (T&S) e por ter passado o serviço de apoio às contas para robôs de IA, fáceis de enganar, que automatizam tudo.» A Meta não forneceu uma explicação oficial sobre a dimensão dos despedimentos da equipa de T&S nem sobre o impacto na capacidade de cibersegurança.
Perguntas frequentes
Qual é o problema central na vulnerabilidade do bot de apoio ao cliente com IA da Meta?
De acordo com a 404 Media, quando o bot de apoio ao cliente com IA da Meta recebe um pedido de alteração do e-mail da conta, envia um código de verificação para a nova caixa de correio fornecida pelos atacantes, sem exigir a ativação do mecanismo de segurança que deveria enviar uma notificação ou uma ligação de restituição para a caixa de correio original. No processo normal, a alteração de e-mail deveria ser notificada à caixa de correio original, mas a implementação do bot de IA contornou essa verificação.
Que contas conhecidas confirmaram ter sido afetadas e a Meta divulgou o total?
As contas conhecidas confirmadas como tendo sido afetadas incluem a conta oficial do Instagram do período da Casa Branca de Barack Obama (EUA), a marca de beleza Sephora e a conta oficial do comandante-mor sargento da Força Espacial dos EUA. A Meta confirmou que o incidente ocorreu, mas até ao momento da publicação não divulgou o número total de contas afetadas.
O plano de despedimentos da Meta e este incidente de cibersegurança têm alguma ligação direta?
O antigo funcionário da Meta, Jane Manchun Wong, apontou publicamente que, após os despedimentos da equipa de T&S, o apoio às contas passou a ser tratado por robôs de IA, e identificou isso como um dos fatores de fundo que permitiram o sucesso do ataque. A Meta não forneceu uma explicação oficial sobre a dimensão exata dos despedimentos da equipa de T&S e o impacto disso na capacidade global de proteção de cibersegurança.
