GoPlus revela falhas críticas de design na Meta e restaura vazamento de informações sensíveis do usuário

A empresa de segurança blockchain GoPlus divulgou no X em 8 de junho uma falha de alto risco no recurso de recuperação de conta da Meta: o atacante só precisa inserir o nome de usuário da conta META, sem fazer login ou qualquer verificação, para obter diretamente dados completos de PII (informações pessoais sensíveis) vinculados ao usuário, como e-mail e número de celular. A reportagem do jornal britânico “Metro” afirma que o International Cyber Digest já validou essa vulnerabilidade.

Recomendações de segurança da GoPlus

A GoPlus publicou as medidas de proteção ao usuário para essa falha:

· Remover ou substituir e-mails/números de celular que vazaram como método de recuperação de conta

· Alterar a senha das contas afetadas e habilitar autenticação de dois fatores (2FA)

· Não clicar em nenhum e-mail ou mensagem SMS relacionados a “anomalia na conta”, “verificação” ou “recuperar/ redefinir senha”

· Verificação por múltiplos canais: validar a veracidade das informações por meio de documentos oficiais ou outros canais oficiais de mídia social

Casos de impacto da vulnerabilidade confirmados

O International Cyber Digest publicou no X e confirmou: “A Meta voltou a ter um grande problema: o recurso de recuperação de contas permite obter as informações de identidade pessoal completas da conta apenas com o nome de usuário do usuário, incluindo e-mail e número de telefone. Nós verificamos essa alegação e encontramos contas de mídia social de algumas figuras públicas.”

As contas confirmadas como afetadas incluem: o jogador do Madrid Kylian Mbappé (vazou informações da conta pessoal do TikTok), a esposa de Cristiano Ronaldo, Georgina Rodriguez, o antigo Instagram da ex-Primeira-dama dos EUA (antes pertencente a Barack Obama, com mais de 2,4 milhões de seguidores) e a ex-engenheira de segurança da Meta, Jane Manchun Wong. A GoPlus também destacou que a comunidade publicou as informações pessoais associadas à conta META de Mark Zuckerberg para verificar a existência da falha.

Perguntas frequentes

Qual é o método específico de ataque dessa vulnerabilidade?

Conforme as explicações da GoPlus e do International Cyber Digest, o atacante usa o recurso de recuperação de conta da Meta: basta inserir o nome de usuário da conta-alvo, sem qualquer credencial de login ou verificação de identidade, para consultar diretamente a PII completa vinculada àquela conta, incluindo endereço de e-mail e número de celular.

Qual foi a resposta da Meta para essa vulnerabilidade?

De acordo com a reportagem, a Meta posteriormente afirmou que “o problema foi resolvido”, mas não divulgou como a falha foi corrigida, quando foi identificada nem a escala de usuários afetados.

O que essa vulnerabilidade tem a ver com a vulnerabilidade do chatbot Meta AI?

As duas vulnerabilidades são eventos de segurança diferentes, mas com proximidade de tempo. A falha do chatbot Meta AI foi exposta antes e foi usada para alterar senhas de outras pessoas, resultando no roubo de cerca de 100 contas de alto valor; a falha de vazamento de PII do recurso de recuperação de conta é a nova falha de projeto que foi divulgada desta vez, ocorrendo alguns dias após o incidente da vulnerabilidade do chatbot.