GoPlus เปิดเผยช่องโหว่ระดับความเสี่ยงสูงของการออกแบบใน Meta ซึ่งทำให้การกู้คืนการทำงานรั่วไหลข้อมูลอ่อนไหวของผู้ใช้

บริษัทความปลอดภัยบล็อกเชน GoPlus เปิดเผยบน X เมื่อวันที่ 8 มิถุนายน ว่ามีข้อบกพร่องระดับความเสี่ยงสูงในการออกแบบฟีเจอร์กู้คืนบัญชีของบัญชี Meta: ผู้โจมตีเพียงแค่ป้อนชื่อผู้ใช้ของผู้ใช้ META ก็สามารถเข้าถึงข้อมูล PII แบบครบถ้วนที่ผูกกับบัญชีของเหยื่อได้ทันที เช่น อีเมลและหมายเลขโทรศัพท์ โดยไม่ต้องเข้าสู่ระบบหรือผ่านการยืนยันใดๆ 《The Metro》ของสหราชอาณาจักรรายงานว่า International Cyber Digest ได้ตรวจสอบช่องโหว่นี้แล้ว

คำแนะนำด้านความปลอดภัยของ GoPlus

GoPlus ออกมาตรการคุ้มครองผู้ใช้สำหรับช่องโหว่นี้:

· ลบหรือเปลี่ยนอีเมล/หมายเลขโทรศัพท์ที่รั่วไหลออกมาเป็นวิธีกู้คืนบัญชี

· เปลี่ยนรหัสผ่านบัญชีที่เกี่ยวข้อง และเปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (2FA)

· ไม่คลิกลิงก์ในอีเมลหรือข้อความสั้น (SMS) ที่เกี่ยวข้องกับ “บัญชีผิดปกติ”“การยืนยัน”“รีเซ็ตรหัสผ่าน”

· ตรวจสอบหลายช่องทาง: ตรวจสอบความถูกต้องของข้อมูลผ่านเอกสารทางการหรือช่องทางสื่อสังคมทางการอื่นๆ

กรณีผลกระทบของช่องโหว่ที่ยืนยันแล้ว

International Cyber Digest โพสต์บน X เพื่อยืนยันว่า: “Meta มีปัญหาใหญ่อีกแล้ว: ฟีเจอร์กู้คืนบัญชีทำให้สามารถรับข้อมูลระบุตัวตนส่วนบุคคลแบบครบถ้วนของบัญชีนั้นได้เพียงจากชื่อผู้ใช้ รวมถึงอีเมลและเบอร์โทรศัพท์ เราตรวจสอบคำกล่าวอ้างดังกล่าวแล้ว และพบว่ามีบัญชีโซเชียลมีเดียของบุคคลสาธารณะบางรายที่เกี่ยวข้อง”

บัญชีที่ได้รับการยืนยันว่าได้รับผลกระทบ ได้แก่: นักเตะของมาดริด Kylian Mbappé (ข้อมูลบัญชี TikTok ส่วนตัวถูกเปิดเผย), ภรรยาของ Cristiano Ronaldo คือ Georgina Rodriguez, บัญชี Instagram ของอดีตทำเนียบขาว (เดิมเป็นของ Barack Obama มีผู้ติดตามมากกว่า 2.4 ล้าน) และอดีตวิศวกรความปลอดภัยของ Meta Jane Manchun Wong GoPlus ยังระบุด้วยว่า ชุมชนได้เผยแพร่ข้อมูลส่วนบุคคลที่เชื่อมโยงกับบัญชี META ของ Mark Zuckerberg เพื่อยืนยันการมีอยู่ของช่องโหว่นี้

คำถามที่พบบ่อย

วิธีโจมตีโดยละเอียดของช่องโหว่นี้คืออะไร?

ตามคำอธิบายของ GoPlus และ International Cyber Digest ผู้โจมตีใช้ฟีเจอร์กู้คืนบัญชีของ Meta โดยเพียงป้อนชื่อผู้ใช้ของบัญชีเป้าหมาย ก็สามารถค้นหาข้อมูล PII แบบครบถ้วนที่ผูกกับบัญชีนั้นได้ทันที โดยไม่ต้องใช้ข้อมูลรับรองการเข้าสู่ระบบหรือการยืนยันตัวตนใดๆ รวมถึงที่อยู่อีเมลและหมายเลขโทรศัพท์

Meta ตอบสนองต่อช่องโหว่นี้อย่างไร?

ตามรายงาน Meta ระบุภายหลังว่า “ปัญหานี้ได้รับการแก้ไขแล้ว” แต่ไม่ได้เปิดเผยวิธีการอุดช่องโหว่ เวลาที่พบ หรือขนาดของจำนวนผู้ใช้ที่ได้รับผลกระทบ

ช่องโหว่นี้เกี่ยวข้องอย่างไรกับช่องโหว่ของบอทแชท Meta AI?

ช่องโหว่ทั้งสองเป็นเหตุการณ์ด้านความปลอดภัยที่แตกต่างกัน แต่เวลาที่เกิดใกล้เคียงกัน ช่องโหว่ของบอทแชท Meta AI ถูกเปิดเผยก่อน และถูกใช้เพื่อเปลี่ยนรหัสผ่านของผู้อื่น จนทำให้บัญชีมูลค่าสูงประมาณ 100 บัญชีถูกขโมย ช่องโหว่ที่ทำให้ PII ของฟีเจอร์กู้คืนบัญชีรั่วไหล เป็นข้อบกพร่องด้านการออกแบบที่ถูกเปิดเผยใหม่ครั้งนี้ ซึ่งเกิดขึ้นหลังเหตุการณ์ช่องโหว่ของบอทแชทไปอีกไม่กี่วัน