Um vazamento massivo de dados expôs informações pessoais de aproximadamente 17,5 milhões de usuários do Instagram em todo o mundo.
Bolsa Família 2026: entenda os critérios para receber o extra de R$ 150 Carroceiros de Juazeiro relatam multas após emplacamento, mas prefeitura nega cobrança Netflix encerra suporte para TVs antigas em 2026: veja modelos afetados e alternativas O que é “farmar aura”? Entenda a gíria que domina TikTok, games e redes sociais
Entre os dados comprometidos estão e-mails, números de telefone e nomes completos.
O incidente já provocou uma onda global de e-mails de redefinição de senha não solicitados. Ainda assim, até esta sexta-feira (10/01/2026), a Meta não apresentou qualquer posicionamento oficial.
Lei Pelé: o que é, como funciona e por que mudou o futebol brasileiro Quem foi Isabel Veloso: a influenciadora que transformou a luta contra o câncer em voz para milhões Ele queria proteger o filho e criou um refúgio para 17 mil crianças autistas Adeus telhado: nova solução te protege do aquecimento global
O que aconteceu no vazamento do Instagram?
A empresa de cibersegurança Malwarebytes identificou a brecha após monitorar fóruns da dark web.
Em seguida, pesquisadores confirmaram que os dados apareceram à venda no dia 7 de janeiro de 2026, no BreachForums, publicados por um usuário chamado “Solonik”. Além disso, o anúncio trazia o título “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK”.
Segundo os investigadores, a origem do problema está ligada a uma vulnerabilidade na API do Instagram explorada no final de 2024. Ou seja, criminosos coletaram as informações meses antes da divulgação pública.
Quais dados foram expostos?
De acordo com a análise técnica, o pacote inclui:
-
Nome de usuário
-
Nome completo
-
Endereço de e-mail verificado
-
Número de telefone internacional
-
Endereço físico parcial (em parte dos registros)
Além disso, os arquivos circulam nos formatos JSON e TXT. Como resultado, grupos criminosos conseguem automatizar golpes em grande escala com extrema facilidade.
Por que usuários estão recebendo e-mails de redefinição?
Desde os dias 8 e 9 de janeiro, milhares de usuários passaram a receber mensagens legítimas de redefinição de senha enviadas por security@mail.instagram.com.
No entanto, essas solicitações não partiram das vítimas.
Na prática, criminosos usam os dados vazados para acionar o sistema de recuperação de contas. Assim, tentam assumir perfis, prática conhecida como account takeover. Os mesmos dados também alimentam:
-
Campanhas de phishing personalizadas
-
Fraudes de identidade
-
Tentativas de extorsão
-
Envio de spam direcionado
No Brasil, por exemplo, os relatos cresceram rapidamente. Inclusive, usuários publicaram centenas de queixas no X (antigo Twitter), no Instagram e no Threads.
Como se proteger agora? Veja as medidas recomendadas
Diante do cenário, especialistas em segurança digital recomendam:
-
Trocar a senha imediatamente no aplicativo ou site oficial
-
Ativar autenticação em dois fatores, preferencialmente via aplicativo autenticador
-
Conferir atividades recentes de login nas configurações
-
Ignorar links recebidos por e-mail, mesmo que pareçam legítimos
-
Verificar exposição de dados em serviços como Have I Been Pwned
-
Usar senhas únicas com auxílio de um gerenciador
Com isso, o risco de invasão diminui de forma significativa.
O silêncio da Meta preocupa especialistas
Este não é um caso isolado. Pelo contrário, integra uma longa sequência de incidentes envolvendo privacidade nas plataformas da Meta.
A ausência de posicionamento oficial amplia a insegurança dos usuários e dificulta a avaliação real dos danos.
Especialistas alertam que combinações de e-mail e telefone permanecem valiosas por anos no mercado criminoso. Portanto, mesmo após o pico inicial, golpes relacionados a esse vazamento ainda podem ocorrer por muito tempo.
Assim, o episódio reforça a necessidade de abandonar o uso exclusivo de SMS como método de proteção e adotar práticas modernas de segurança digital.
