GoPlus revela defectos de diseño de alto riesgo de Meta; la funcionalidad restaurada filtra información sensible de los usuarios

La empresa de seguridad blockchain GoPlus divulgó en X el 8 de junio que existe una falla de diseño de alto riesgo en la función de recuperación de cuentas de Meta: el atacante solo necesita introducir el nombre de usuario de META, sin necesidad de iniciar sesión ni realizar ninguna verificación, para obtener directamente el PII completo (información personal sensible) vinculada al usuario, como correo electrónico y número de teléfono. El diario británico The Metro informó que International Cyber Digest ya ha verificado esta vulnerabilidad.

Recomendaciones de seguridad de GoPlus

Medidas de protección al usuario publicadas por GoPlus para esta vulnerabilidad:

· Eliminar o reemplazar los correos electrónicos/números de teléfono filtrados como método de recuperación de la cuenta

· Modificar las contraseñas de las cuentas correspondientes y habilitar la verificación en dos pasos (2FA)

· No hacer clic en ningún correo electrónico ni mensaje SMS relacionado con “anomalía de la cuenta”, “verificación” o “restablecer contraseña”

· Verificación por múltiples canales: comprobar la veracidad de la información a través de documentos oficiales o mediante canales oficiales de otras redes sociales

Casos de impacto de la vulnerabilidad confirmados

International Cyber Digest publicó en X y confirmó: «Meta volvió a tener otro gran problema: su función de recuperación de cuentas permite obtener la información de identidad personal completa de la cuenta solo con el nombre de usuario, incluidos el correo electrónico y el número de teléfono. Verificamos esta afirmación y encontramos cuentas de redes sociales pertenecientes a varias figuras públicas.»

Las cuentas confirmadas afectadas incluyen: el jugador del club de Madrid Kylian Mbappé (filtró información de su cuenta personal de TikTok), la esposa de Cristiano Ronaldo, Georgina Rodriguez, la antigua cuenta de Instagram de la Casa Blanca (originalmente perteneciente a Barack Obama, con más de 2,4 millones de seguidores) y la ex ingeniera de seguridad de Meta, Jane Manchun Wong. GoPlus también señaló que la comunidad ha publicado información personal vinculada a la cuenta de META de Mark Zuckerberg para verificar la existencia de la vulnerabilidad.

Preguntas frecuentes

¿Cuál es la forma de ataque específica de esta vulnerabilidad?

Según la explicación de GoPlus e International Cyber Digest, los atacantes, a través de la función de recuperación de cuentas de Meta, solo necesitan introducir el nombre de usuario de la cuenta objetivo, sin credenciales de inicio de sesión ni verificación de identidad, para consultar directamente el PII completo vinculado a esa cuenta, incluido la dirección de correo y el número de teléfono.

¿Cómo respondió Meta a esta vulnerabilidad?

Según los reportes, Meta posteriormente indicó que “el problema ya se resolvió”, pero Meta no ha publicado detalles sobre cómo se corrigió la vulnerabilidad, el momento en que se descubrió ni el tamaño del conjunto de usuarios afectados.

¿Qué relación hay entre esta vulnerabilidad y la vulnerabilidad del chatbot de Meta AI?

Ambas vulnerabilidades son eventos de seguridad distintos, pero cercanos en el tiempo. La vulnerabilidad del chatbot de Meta AI se expuso antes y se utilizó para cambiar las contraseñas de otras personas, lo que ya llevó al robo de alrededor de 100 cuentas de alto valor; la fuga de PII en la vulnerabilidad de la función de recuperación de cuentas es el defecto de diseño recién expuesto en esta ocasión, ocurrido unos días después del incidente de la vulnerabilidad del chatbot.