O Instagram declarou que não sofreu nenhuma violação, apesar de alguns usuários terem recebido solicitações de redefinição de senha que levantaram preocupações. A declaração seguiu uma publicação no Bluesky da empresa de software antivírus Malwarebytes, que incluía uma captura de tela de um e-mail do Instagram notificando um usuário sobre uma solicitação de redefinição de senha.

A Malwarebytes alegou em sua publicação na sexta-feira que criminosos cibernéticos roubaram informações confidenciais de 17,5 milhões de contas do Instagram, incluindo nomes de usuário, endereços físicos, números de telefone e endereços de e-mail. A empresa alegou ainda que esses dados estavam à venda na dark web e poderiam ser explorados por criminosos cibernéticos.

O Instagram respondeu no X, anteriormente Twitter, afirmando que havia resolvido um problema que permitia que uma parte externa solicitasse e-mails de redefinição de senha para alguns usuários. A empresa não divulgou detalhes sobre a parte externa ou a natureza específica do problema. A publicação do Instagram concluiu com um pedido de desculpas por qualquer confusão e aconselhou os usuários a ignorar os e-mails suspeitos.

A discrepância entre a alegação da Malwarebytes de um roubo de dados em larga escala e a afirmação do Instagram de que não houve violação destaca os desafios na avaliação e notificação de incidentes de segurança cibernética. As solicitações de redefinição de senha, embora muitas vezes legítimas, também podem ser uma tática usada por agentes maliciosos para obter acesso não autorizado a contas, uma técnica conhecida como credential stuffing. Em ataques de credential stuffing, criminosos cibernéticos usam listas de nomes de usuário e senhas obtidas em violações de dados anteriores para tentar fazer login em contas em outras plataformas.

A falta de transparência do Instagram em relação à vulnerabilidade específica e à parte externa envolvida atraiu críticas de especialistas em segurança. Sem mais informações, é difícil avaliar o impacto potencial sobre os usuários e a eficácia da resposta do Instagram. A decisão da empresa de anunciar a correção no X, em vez de em sua própria plataforma, também levantou questões.

O incidente ressalta a importância de uma forte higiene de senhas e da ativação da autenticação de dois fatores, que adiciona uma camada extra de segurança, exigindo um código de verificação do dispositivo do usuário, além de sua senha. Os usuários que receberam solicitações de redefinição de senha suspeitas devem alterar suas senhas imediatamente e monitorar suas contas em busca de sinais de atividade não autorizada.

O Instagram ainda não forneceu mais atualizações sobre a situação. O tratamento deste incidente pela empresa provavelmente será examinado de perto por pesquisadores de segurança e usuários, pois levanta preocupações sobre segurança de dados e transparência.