GoPlus 披露 Meta 高危设计缺陷，恢复功能泄露用户敏感信息

区块链安全公司 GoPlus 于 6 月 8 日在 X 披露，Meta 账户恢复功能存在高危设计缺陷：攻击者仅需输入 META 用户名，无需任何登录或验证，即可直接获取用户绑定的邮箱、手机号码等完整 PII（个人敏感信息）。英国《地铁报》报道，International Cyber Digest 已验证此漏洞。

GoPlus 的安全建议

GoPlus 针对此漏洞发布的用户保护措施：

· 移除或更换已泄露的邮箱/手机号码作为账户恢复方式

· 修改相关账号密码并启用双重验证（2FA）

· 不点击任何「账户异常」「验证」「重设密码」相关的邮件或短信

· 多渠道核实：通过官方文件或官方其他社群媒体渠道验证信息真实性

已确认的漏洞影响案例

International Cyber Digest 在 X 平台发文确认：「Meta 又出大问题了：它的账户恢复功能允许仅凭用户名即可获取完整的账户个人身份信息，包括电子邮件和电话号码。我们核实了这一说法，并发现了属于几位公众人物的社交媒体账户。」

受影响的确认账户包括：马德里球员 Kylian Mbappé（泄露其个人 TikTok 账户信息）、Cristiano Ronaldo 妻子 Georgina Rodriguez、前白宫 Instagram 账户（原属 Barack Obama，粉丝逾 240 万）及前 Meta 安全工程师 Jane Manchun Wong。GoPlus 另指出，社群已公开了 Mark Zuckerberg 的 META 账户关联个人信息，以验证漏洞的存在。

常见问题

此漏洞的具体攻击方式是什么？

根据 GoPlus 和 International Cyber Digest 的说明，攻击者通过 Meta 的账户恢复功能，仅需输入目标账户的用户名，无需任何登录凭证或身份验证，即可直接查询到与该账户绑定的完整 PII，包括邮件地址和手机号码。

Meta 对此漏洞的回应是什么？

根据报道，Meta 随后表示「该问题已解决」，但 Meta 未公开说明漏洞的修补方式、发现时间或受影响用户规模。

此漏洞与 Meta AI 聊天机器人漏洞有何关系？

两个漏洞是不同的安全事件，但时间接近。Meta AI 聊天机器人漏洞较早曝光，被用于更改他人密码，已导致约 100 个高价值账户被盗；账户恢复功能的 PII 泄漏漏洞为此次新曝光的设计缺陷，发生在聊天机器人漏洞事件后数天。