GoPlus раскрыла критическую уязвимость в дизайне Meta высокого риска, утечки конфиденциальных данных пользователей из-за восстановления функциональности

Блокчейн-компания по безопасности GoPlus сообщила в X 8 июня о критическом конструктивном недостатке функции восстановления аккаунта в Meta: злоумышленнику достаточно ввести имя пользователя META, без какого-либо входа или проверки, чтобы сразу получить полный PII (персональные чувствительные данные), привязанный к аккаунту пользователя, включая адрес электронной почты, номер телефона и т. п. Как сообщает британская газета The Metro, International Cyber Digest проверила этот баг.

Рекомендации GoPlus по безопасности

GoPlus опубликовал меры защиты пользователей от этого уязвимости:

· Удалить или заменить раскрытые адреса электронной почты/номера телефонов как способ восстановления аккаунта

· Изменить пароли соответствующих аккаунтов и включить двухфакторную аутентификацию (2FA)

· Не переходить по любым письмам или SMS, связанным с «аномалией в аккаунте», «верификацией», «сбросом пароля»

· Проверка по нескольким каналам: через официальные документы или официальные другие каналы в соцсетях для подтверждения подлинности информации

Подтвержденные примеры влияния уязвимости

International Cyber Digest в посте в X подтвердил: «Meta снова столкнулась с большой проблемой: её функция восстановления аккаунта позволяет получить полные сведения об идентичности пользователя, включая адрес электронной почты и номер телефона, только по имени пользователя. Мы проверили эту информацию и обнаружили, что она относится к нескольким аккаунтам публичных персон на платформах соцсетей.»

Подтвержденные затронутые аккаунты включают: мадридского игрока Kylian Mbappé (раскрытые сведения о его персональном TikTok-аккаунте), жену Cristiano Ronaldo Georgina Rodriguez, бывший Instagram-аккаунт Белого дома (ранее принадлежал Barack Obama, число подписчиков — свыше 2,4 млн) и бывшего инженера по безопасности Meta Jane Manchun Wong. GoPlus также отметил, что сообщество опубликовало персональные данные, связанные с аккаунтом META Марка Цукерберга (Mark Zuckerberg), чтобы подтвердить наличие уязвимости.

Частые вопросы

Каков конкретный способ атаки в рамках этой уязвимости?

Согласно описанию GoPlus и International Cyber Digest, злоумышленник использует функцию восстановления аккаунта Meta: ему достаточно ввести имя пользователя целевого аккаунта, без любых учетных данных для входа или проверки личности, чтобы сразу выполнить запрос и получить полный набор PII, привязанный к этому аккаунту, включая адрес электронной почты и номер телефона.

Как Meta отреагировала на эту уязвимость?

Согласно сообщению, Meta затем заявила, что «проблема решена», но Meta не раскрыла, как именно была устранена уязвимость, когда её обнаружили или масштаб затронутых пользователей.

Как эта уязвимость связана с уязвимостью у чат-бота Meta AI?

Эти два инцидента — разные события безопасности, но они произошли близко по времени. Уязвимость чат-бота Meta AI (уязвимость Meta AI чат-бота) была раскрыта раньше и использовалась для изменения чужих паролей, что привело к компрометации примерно 100 аккаунтов с высокой стоимостью; уязвимость утечки PII в функции восстановления аккаунта стала новым раскрытым конструктивным недостатком, который произошёл спустя несколько дней после инцидента с Meta AI чат-бота (уязвимостью чат-бота Meta AI).