A Meta disse que corrigiu uma falha que permitia a terceiros disparar e-mails de redefinição de senha e negou uma violação da plataforma depois que um conjunto de dados que afirmava conter 17,5 milhões de registros do Instagram circulou. Analistas de segurança alertaram que a onda de e-mails de redefinição e o suposto vazamento de dados amplificaram o risco de phishing e de sequestro de contas.

No início de janeiro de 2026, a Meta reconheceu e corrigiu uma vulnerabilidade que permitia a alguns atores externos disparar e‑mails de redefinição de senha do Instagram com aparência legítima, após fóruns subterrâneos terem circulado um conjunto de dados supostamente contendo cerca de 17,5 milhões de registros de usuários. A Meta negou uma violação da plataforma e disse que não havia evidências de exfiltração de credenciais de seus sistemas, mas a empresa aconselhou os usuários a ativarem a autenticação de dois fatores por aplicativo e a ficarem atentos a mensagens de redefinição inesperadas. Pesquisadores de segurança e respondedores a incidentes alertaram que a combinação de registros vazados, mesmo que parciais ou agregados, somada a e‑mails de redefinição autênticos aumentava a eficácia de campanhas de phishing direcionado e de tomada de conta. O episódio motivou orientações para organizações e usuários monitorarem a atividade da conta, rotacionarem senhas quando houver suspeita de reutilização e validarem solicitações de redefinição por meio de canais oficiais. Forças de segurança e equipes de segurança estão monitorando a atividade dos fóruns e tentativas relacionadas de preenchimento de credenciais, enquanto defensores enfatizam proteção em camadas das contas e processos de resposta rápida para suspeitas de comprometimento.