GoPlus розкриває Meta високоризикові проєктні недоліки, відновлення функції спричинило витік конфіденційної інформації користувачів

Криптографічна компанія із безпеки блокчейну GoPlus 8 червня у X розкрила критичний недолік у механізмі відновлення доступу в облікових записах Meta: зловмиснику достатньо ввести лише ім’я користувача META, без будь-якого входу або перевірки, щоб одразу отримати повні PII (персональні чутливі дані), прив’язані до акаунта, зокрема email і номер телефону. Про це повідомляє британська газета “The Metro”. International Cyber Digest уже підтвердив цей вразливий момент.

Безпекові рекомендації GoPlus

GoPlus для захисту користувачів у зв’язку з цим вразливим моментом опублікував такі заходи:

· Видалити або замінити зламані email/номери телефонів як спосіб відновлення облікового запису

· Змінити паролі відповідних облікових записів і ввімкнути двофакторну автентифікацію (2FA)

· Не натискати жодні листи або SMS із темами, пов’язаними з “аномалією в обліковому записі”, “верифікацією” або “скиданням пароля”

· Перевіряти інформацію кількома каналами: через офіційну документацію або офіційні інші канали в соцмережах

Підтверджені приклади впливу вразливості

International Cyber Digest у дописі в X підтвердив: “Meta знову має серйозну проблему: її функція відновлення облікового запису дозволяє лише за ім’ям користувача отримати повні відомості про особу, пов’язані з акаунтом, включно з електронною адресою та номером телефону. Ми перевірили цю інформацію та виявили, що вона стосується акаунтів кількох публічних осіб.”

Підтверджені акаунти, що зазнали впливу, включають: мадридського гравця Kylian Mbappé (злито інформацію його персонального TikTok-акаунта), дружину Кріштіану Роналду Georgina Rodriguez, попередній Instagram-акаунт Білого дому (раніше належав Barack Obama, понад 2,4 млн підписників) і колишнього інженера з безпеки Meta Jane Manchun Wong. GoPlus також зазначив, що спільнота вже оприлюднила пов’язані з акаунтом Mark Zuckerberg дані в обліковому записі META, щоб підтвердити наявність вразливості.

Поширені запитання

Який саме спосіб атаки за цією вразливістю?

Згідно з поясненнями GoPlus та International Cyber Digest, зловмисник через функцію відновлення доступу Meta: достатньо ввести ім’я цільового акаунта, не потрібно жодних даних для входу або перевірки особи, щоб одразу виконати запит і отримати повні PII, прив’язані до цього акаунта, зокрема email-адресу та номер телефону.

Як Meta відреагувала на цю вразливість?

За повідомленнями, Meta згодом заявила, що “проблему вирішено”, але Meta не оприлюднила спосіб виправлення вразливості, час її виявлення чи масштаб постраждалих користувачів.

Який зв’язок між цією вразливістю та вразливістю Meta AI чат-бота?

Ці два вразливі моменти — різні події безпеки, але вони сталися близько в часі. Вразливість у чат-боті Meta AI була виявлена раніше; її використовували для зміни паролів інших людей, що призвело до викрадення приблизно 100 високовартісних акаунтів. Вразливість із витоком PII через функцію відновлення доступу — це новий недолік у дизайні, який було виявлено під час цього оприлюднення, і він стався через кілька днів після події з чат-ботом.