Hack Alerta

Vazamento de 17,5 milhões de contas do Instagram: dados pessoais em venda no dark web

Por Redação Hack Alerta Publicado em 10/01/2026 05:02 Vazamento de dados Tempo de leitura: 3 min

Pesquisadores da Malwarebytes confirmaram vazamento que expõe cerca de 17,5 milhões de contas do Instagram, com e‑mails, telefones e endereços físicos em circulação na dark web. Usuários relatam tentativas de redefinição de senha; Meta ainda não se pronunciou oficialmente.

Um vazamento que expõe dados de aproximadamente 17,5 milhões de contas do Instagram foi confirmado por pesquisadores e está sendo negociado em mercados da dark web.

O que foi divulgado

O incidente, identificado por pesquisadores da Malwarebytes e divulgado ao público, inclui um banco de dados com campos pessoais extensos: nomes de usuário, endereços de e‑mail, números de telefone e até endereços físicos. A combinação desses campos facilita ataques de engenharia social, roubo de identidade e campanhas de phishing altamente direcionadas.

Evidências e sinais de abuso

Malwarebytes informou que a base de dados está sendo ativamente comercializada em fóruns clandestinos. Já há relatos de usuários que receberam notificações legítimas de redefinição de senha no Instagram, um indicador prático de tentativas de sequestro de contas usando as informações vazadas.

Origem e responsabilidades

Até o momento, Meta/Instagram não publicou uma declaração oficial detalhando a origem do vazamento ou medidas de remediação. Os investigadores discutem duas hipóteses principais: comprometimento direto de sistemas do Instagram ou exfiltração via terceiros (serviços e APIs de parceiros).

Impacto para organizações e indivíduos

Para equipes de segurança corporativa e profissionais responsáveis por risco e conformidade, as implicações são claras: listas contendo e‑mails e telefones vinculados a contas sociais facilitam spear‑phishing e ataques SMS/voice‑phishing (vishing). Organizações com presença em redes sociais devem replicar controles e monitoramento para perfis oficiais e alertar colaboradores sobre possíveis tentativas de sequestro de conta.

Recomendações imediatas

  • Ativar autenticação multifator (2FA) em todas as contas.
  • Forçar redefinição de senhas e revogação de sessões ativas para contas suspeitas quando possível.
  • Monitorar logs de autenticação e alertas de tentativas de redefinição de senha.
  • Rever integrações de terceiros que tenham acesso a dados de perfis e minimizar privilégios de API.
  • Comunicar aos usuários sobre as medidas defensivas e sinais de phishing.

O que ainda não se sabe

Falta confirmação pública sobre vetores exatos, número de contas brasileiras afetadas e se houve comprometimento de credenciais em claro. Sem a posição oficial da Meta, investigações forenses em fornecedores terceiros permanecem necessárias.

Observação regulatória

Empresas brasileiras devem considerar possíveis implicações de LGPD caso clientes/colaboradores tenham dados expostos. Avalie prontamente a necessidade de comunicação às autoridades e titulares caso provenha evidence de tratamento irregular de dados pessoais sob sua responsabilidade.

Baseado em publicação original de Cyber Security News
Tags: #instagram #vazamento #databreach #malwarebytes #darkweb #phishing #contas #privacy #credentials
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar