Um enorme tesouro de dados de usuários do Instagram acaba de voltar à superfície e está colocando milhões de contas de volta na mira mais de um ano depois que o vazamento unique foi considerado morto e enterrado.
Aproximadamente 17,5 milhões de contas foram apanhadas nesta última onda depois que os dados começaram a round em um notório fórum de hackers no início de janeiro de 2026. De acordo com um alerta de segurança do Malwarebytesum hacker chamado “Solonik” é o responsável pelo vazamento. Embora isso possa parecer uma violação de segurança totalmente nova, os especialistas dizem que os dados, na verdade, resultam de um passo em falso de 2024 – uma API do Instagram mal configurada que permitiu que atores mal-intencionados coletassem grandes quantidades de informações de perfil antes que o Meta pudesse tapar o buraco.
Na época em que isso aconteceu pela primeira vez, os invasores conseguiram coletar dados silenciosamente durante meses. Eventualmente, o banco de dados desapareceu da darkish internet, mas seu retorno repentino prova uma realidade frustrante da period digital: uma vez que suas informações estão disponíveis, elas estão disponíveis para sempre.
O “package doxxing” ressurgido é particularmente desagradável porque é muito detalhado
Não possui apenas nomes de usuário; inclui nomes completos, endereços de e-mail, números de telefone e até endereços residenciais físicos. Esta é uma mina de ouro para os cibercriminosos porque lhes permite ultrapassar o spam genérico e lançar ataques direcionados e incrivelmente convincentes. O Malwarebytes já está vendo um aumento no número de golpistas que fingem ser o suporte do Instagram para convencer as pessoas a fornecerem seus dados de login.
A parte mais inteligente desse ataque, entretanto, é o golpe de redefinição de senha. Em vez de enviar um e-mail falso e de aparência incompleta, os hackers estão, na verdade, acionando solicitações reais de redefinição de senha dos próprios servidores do Instagram. Você recebe um e-mail legítimo de um endereço “meta.com” ou “instagram.com”, entra em pânico pensando que alguém está em sua conta e, nesse momento de confusão, é muito mais provável que você caia em uma mensagem de texto ou chamada de phishing de acompanhamento.
Em 11 de janeiro de 2026, Meta permaneceu calado sobre o assunto
Embora o impacto mais visível tenha ocorrido na Europa até agora, o risco é world – especialmente para quem utiliza a mesma palavra-passe para o Instagram e para o seu banco ou e-mail.
O conselho dos profissionais de segurança é simples, mas inegociável: altere sua senha agora, certifique-se de que ela seja exclusiva e, pelo amor de Deus, ative a autenticação de dois fatores (de preferência usando um aplicativo em vez de SMS). Este último vazamento é um lembrete contundente de que, mesmo que uma empresa corrija um bug, os dados roubados por meio dela podem voltar para assombrá-lo a qualquer momento.
