Milhões de Credenciais do Instagram Circulam na Dark Web: Alerta por Nova Onda de Phishing

Uma vulnerabilidade na API do Instagram de 2024 deixou expostas mais de 17,5 milhões de contas, cujos dados pessoais agora ressurgem em plataformas clandestinas. As informações comprometidas incluem nomes de utilizador, endereços de email, números de telefone e metadados associados aos perfis, gerando uma ameaça imediata para os utilizadores afetados.

A Origem da Crise: Um Erro de Configuração Catastrófico

A brecha teve origem numa configuração deficiente nos sistemas da API do Instagram, que permitiu a extração não autorizada de milhões de perfis de utilizador. Embora o incidente tenha ocorrido em 2024, o reaparecimento destes dados na dark web durante janeiro de 2026 atualizou o risco, transformando informações antigas num ativo valioso para os cibercriminosos.

Malwarebytes, a reconhecida empresa de cibersegurança, foi quem identificou esta nova distribuição de dados comprometidos no Breachforums e outras plataformas de troca ilegal, alertando publicamente sobre as implicações de segurança.

O Perigo Real: Campanhas de Phishing Sofisticadas

Os atacantes não só possuem os dados pessoais, como também encontraram uma forma engenhosa e eficaz de explorá-los. Utilizam as informações filtradas para enviar emails fraudulentos que simulam pedidos de redefinição de palavra-passe do Instagram. Como os destinatários reconhecem os seus dados reais nas mensagens, a taxa de sucesso destas campanhas de phishing dispara significativamente.

O volume de tentativas de suplantação aumentou notoriamente desde que os dados reapareceram na dark web, com milhares de utilizadores a reportar emails suspeitos dirigidos às suas contas.

Medidas Imediatas de Proteção

Malwarebytes recomenda a todos os utilizadores afetados potenciais que tomem ações defensivas sem demora:

• Alterar palavras-passe: Atualizar a palavra-passe do Instagram e, especialmente, qualquer conta que reutilize a mesma chave de acesso
• Ativar autenticação de dois fatores: Esta camada adicional de segurança dificulta significativamente as tentativas de acesso não autorizado
• Verificar alterações na conta: Revisar a atividade recente e os dispositivos ligados nas configurações de segurança
• Desconfiar de links em emails: Aceder diretamente ao Instagram através do navegador, em vez de clicar em links de emails

O Silêncio da Meta

Até ao momento, a Meta não emitiu comunicados públicos respondendo à reaparecimento destes dados na dark web nem forneceu informações sobre medidas adicionais que possa estar a implementar para proteger os seus utilizadores. Esta ausência de resposta contrasta com a gravidade da exposição e mantém os utilizadores na incerteza quanto a futuras ações corretivas.

A situação destaca a importância crítica da higiene de segurança pessoal e reforça que, independentemente das medidas implementadas pelas plataformas, a responsabilidade individual na proteção de credenciais continua a ser fundamental.