Nos últimos meses, usuários do Instagram passaram a relatar um comportamento incomum, o recebimento de e-mails legítimos de redefinição de senha sem que nenhuma solicitação tivesse sido feita. Pouco depois, pesquisadores de segurança divulgaram a existência de um conjunto de dados com aproximadamente 17,5 milhões de registros supostamente relacionados à plataforma. A combinação desses fatores rapidamente levantou suspeitas de um possível megavazamento.

De acordo com as análises dos especialistas, os dados em circulação incluem nomes de usuário, nomes completos, endereços de e-mail, números de telefone e informações de localização. Um ponto importante é que não há evidências de vazamento de senhas. As investigações indicam que essas informações teriam sido obtidas por meio de scraping, ou seja, raspagem automatizada de dados a partir de APIs ou funcionalidades expostas, em um incidente que teria ocorrido originalmente em 2024 e que voltou a circular em 2026.

A recirculação desses dados em fóruns conhecidos por comercialização de bases vazadas reacendeu o alerta. Mesmo sem senhas, informações de contato são extremamente valiosas para cibercriminosos. Elas permitem campanhas de phishing altamente direcionadas, tentativas de engenharia social e golpes que exploram a confiança do usuário na comunicação legítima da plataforma.

Um dos aspectos mais sensíveis do caso foi o envio em massa de e-mails reais de “redefinição de senha” do Instagram. Segundo a Meta, isso não foi causado por uma invasão, mas por um erro técnico que permitia que terceiros acionassem solicitações de reset de senha de forma abusiva. A empresa afirma que a falha foi corrigida e reforça que seus sistemas internos não foram comprometidos.

Ainda assim, o impacto psicológico e prático para os usuários é significativo. Ao receber um e-mail legítimo de redefinição, muitas pessoas acabam clicando impulsivamente, o que abre espaço para ataques combinados, como quando o criminoso envia um phishing quase idêntico logo em seguida ou tenta contato direto usando os dados vazados para convencer a vítima a fornecer códigos ou informações adicionais.

Esse tipo de cenário mostra que, mesmo sem um vazamento clássico de senhas, o risco de sequestro de contas é real. Criminosos podem explorar dados públicos, informações vazadas e falhas de usabilidade para assumir o controle de perfis, aplicar golpes em contatos da vítima ou vender contas comprometidas.

Sempre cabe comentar sobre como reduzir o risco de sequestro do seu Instagram. Algumas medidas simples fazem grande diferença:

• Ative a autenticação em dois fatores (2FA), preferencialmente usando aplicativo autenticador, não apenas SMS.

• Nunca clique diretamente em links de e-mails de redefinição. Em caso de dúvida, abra o aplicativo ou site do Instagram manualmente e verifique se há alguma solicitação pendente.

• Use uma senha única e forte, que não seja reutilizada em outros serviços.

• Revise e limite informações públicas no perfil, como e-mail ou telefone visíveis.

• Desconfie de contatos urgentes, mesmo que pareçam legítimos ou usem seus dados pessoais.

• Monitore acessos e sessões ativas nas configurações de segurança da conta.

O caso do suposto vazamento de 17,5 milhões de contas reforça uma lição importante, nem todo incidente envolve uma invasão direta, mas isso não reduz os riscos para o usuário final. A segurança digital hoje depende tanto da robustez das plataformas quanto da atenção e do comportamento de cada pessoa online.

Fiquem seguros e monitorem sempre suas mídias sociais!