GoPlus deckt einen Entwurf für einen Meta-Design-Fehler mit hohem Risiko auf und stellt die Wiederherstellungsfunktion wieder her, wodurch sensible Nutzerinformationen offengelegt werden

Die Blockchain-Sicherheitsfirma GoPlus hat am 8. Juni auf X offengelegt, dass es bei einer Funktion zur Wiederherstellung von Meta-Konten einen kritisch riskanten Designfehler gibt: Angreifer müssen lediglich den META-Benutzernamen eingeben und brauchen weder einen Login noch eine Bestätigung, um direkt die vollständigen PII (personenbezogene sensible Informationen) zu erhalten, die an den Nutzer gebunden sind, wie etwa E-Mail-Adresse und Telefonnummer. Wie die britische „Metro“-Zeitung berichtet, hat International Cyber Digest diesen Fehler bereits verifiziert.

Sicherheits-Empfehlungen von GoPlus

GoPlus hat für diesen Fehler folgende Schutzmaßnahmen für Nutzer veröffentlicht:

· Entfernen oder Ersetzen der geleakten E-Mail-/Telefonnummern als Methode zur Kontowiederherstellung

· Passwörter der betroffenen Konten ändern und die Zwei-Faktor-Authentifizierung (2FA) aktivieren

· Keine E-Mails oder SMS anklicken, die sich auf „ungewöhnlicher Kontozugriff“, „Verifizierung“ oder „Passwort zurücksetzen“ beziehen

· Verifikation über mehrere Kanäle: Informationen über offizielle Dokumente oder offizielle andere Social-Media-Kanäle auf Echtheit prüfen

Bestätigte Fallbeispiele von Auswirkungen

International Cyber Digest bestätigte in einem X-Beitrag: „Meta hat schon wieder ein großes Problem: Seine Kontowiederherstellungsfunktion erlaubt es, allein mit dem Benutzernamen vollständige Konto-Personendaten zu erhalten, einschließlich E-Mail und Telefonnummer. Wir haben diese Behauptung verifiziert und dabei festgestellt, dass es sich um Social-Media-Konten mehrerer öffentlicher Persönlichkeiten handelt.“

Die betroffenen bestätigten Konten umfassen: den Madrider Spieler Kylian Mbappé (leakte persönliche TikTok-Kontoninformationen), die Ehefrau von Cristiano Ronaldo, Georgina Rodriguez, den ehemaligen Instagram-Account des Weißen Hauses (gehörte früher Barack Obama, mehr als 2,4 Millionen Follower) sowie die ehemalige Meta-Sicherheitsingenieurin Jane Manchun Wong. GoPlus wies außerdem darauf hin, dass die Community die personenbezogenen Informationen, die mit dem META-Konto von Mark Zuckerberg verknüpft sind, öffentlich gemacht hat, um das Vorliegen des Fehlers zu verifizieren.

Häufige Fragen

Welche konkreten Angriffswege hat dieser Fehler?

Laut den Angaben von GoPlus und International Cyber Digest geben Angreifer über die Kontowiederherstellungsfunktion von Meta lediglich den Benutzernamen des Zielkontos ein. Ohne irgendeinen Login oder eine Identitätsverifizierung können sie direkt die vollständigen PII abfragen, die mit diesem Konto verknüpft sind, einschließlich E-Mail-Adresse und Telefonnummer.

Wie hat Meta auf diesen Fehler reagiert?

Laut dem Bericht gab Meta anschließend an, „das Problem sei behoben“, aber Meta hat nicht offengelegt, wie der Fehler behoben wurde, wann er entdeckt wurde oder wie viele Nutzer betroffen waren.

Inwiefern hängt dieser Fehler mit dem Fehler bei Meta AI Chatbots zusammen?

Beide Fehler sind unterschiedliche Sicherheitsvorfälle, aber zeitlich nah beieinander. Der Meta-AI-Chatbot-Fehler war früher bekannt geworden und wurde genutzt, um Passwörter anderer zu ändern, was dazu geführt hat, dass etwa 100 Konten mit hohem Wert gestohlen wurden; der PII-Leckage-Fehler der Kontowiederherstellung ist der neu bekannt gewordene Designfehler dieser neuen Offenlegung, der einige Tage nach dem Vorfall mit dem Chatbot-Fehler auftrat.