GoPlus tiết lộ lỗ hổng thiết kế mức độ rủi ro cao của Meta, khiến rò rỉ thông tin nhạy cảm người dùng thông qua việc khôi phục chức năng

Công ty bảo mật chuỗi khối GoPlus đã tiết lộ trên X vào ngày 8 tháng 6 rằng có một lỗ hổng thiết kế mức độ rủi ro cao trong tính năng khôi phục tài khoản của Meta: kẻ tấn công chỉ cần nhập tên người dùng của người dùng META, không cần đăng nhập hay bất kỳ xác thực nào, vẫn có thể trực tiếp lấy được đầy đủ PII (thông tin cá nhân nhạy cảm) được gắn với tài khoản như email và số điện thoại. Báo The Metro của Anh đưa tin rằng International Cyber Digest đã xác minh lỗ hổng này.

Khuyến nghị bảo mật của GoPlus

GoPlus đã đưa ra các biện pháp bảo vệ người dùng đối với lỗ hổng này:

· Xóa hoặc thay thế email/số điện thoại đã bị rò rỉ khỏi cách thức khôi phục tài khoản

· Đổi mật khẩu tài khoản liên quan và bật xác thực hai yếu tố (2FA)

· Không nhấp vào bất kỳ email hoặc tin nhắn nào liên quan đến “bất thường tài khoản”, “xác minh”, “đặt lại mật khẩu”

· Xác minh đa kênh: xác thực tính đúng đắn của thông tin thông qua tài liệu chính thức hoặc các kênh mạng xã hội chính thức khác

Các trường hợp ảnh hưởng đã được xác nhận

International Cyber Digest đã đăng trên X để xác nhận: “Meta lại gặp sự cố lớn: tính năng khôi phục tài khoản của họ cho phép chỉ cần dựa vào tên người dùng là có thể lấy được thông tin nhận dạng cá nhân đầy đủ của tài khoản, bao gồm email và số điện thoại. Chúng tôi đã xác minh tuyên bố này và phát hiện có liên quan đến các tài khoản mạng xã hội của một số nhân vật công chúng.”

Các tài khoản đã được xác nhận là bị ảnh hưởng gồm: cầu thủ bóng đá người Madrid Kylian Mbappé (lộ thông tin tài khoản TikTok cá nhân), vợ của Cristiano Ronaldo là Georgina Rodriguez, tài khoản Instagram cựu Nhà Trắng (thuộc về Barack Obama trước đây, với hơn 2,4 triệu người theo dõi) và cựu kỹ sư bảo mật Meta Jane Manchun Wong. GoPlus cũng cho biết cộng đồng đã công khai thông tin cá nhân liên quan đến tài khoản META của Mark Zuckerberg nhằm xác minh sự tồn tại của lỗ hổng.

Câu hỏi thường gặp

Phương thức tấn công cụ thể của lỗ hổng này là gì?

Theo phần giải thích của GoPlus và International Cyber Digest, kẻ tấn công thông qua tính năng khôi phục tài khoản của Meta, chỉ cần nhập tên người dùng của tài khoản mục tiêu, không cần bất kỳ thông tin xác thực đăng nhập hay xác thực danh tính nào, có thể trực tiếp tra cứu được PII đầy đủ được gắn với tài khoản đó, bao gồm địa chỉ email và số điện thoại.

Meta phản hồi gì về lỗ hổng này?

Theo báo cáo, Meta sau đó cho biết “vấn đề đã được khắc phục”, nhưng Meta không công khai cách thức vá lỗ hổng, thời điểm phát hiện hay quy mô người dùng bị ảnh hưởng.

Lỗ hổng này có liên quan gì đến lỗ hổng chatbot Meta AI không?

Hai lỗ hổng là các sự kiện bảo mật khác nhau, nhưng thời điểm gần nhau. Lỗ hổng chatbot Meta AI được công bố sớm hơn, đã được dùng để thay đổi mật khẩu của người khác và dẫn đến việc khoảng 100 tài khoản giá trị cao bị đánh cắp; lỗ hổng rò rỉ PII của tính năng khôi phục tài khoản là một khiếm khuyết thiết kế được phơi bày mới trong lần này, xảy ra vài ngày sau sự kiện lỗ hổng chatbot.