كشفت GoPlus عن ثغرة تصميم شديدة الخطورة لدى Meta، ما أدى إلى تسريب معلومات حساسة للمستخدمين من خلال استعادة تسريب الوظائف

أفصحت شركة GoPlus لأمن البلوك تشين في 8 يونيو عبر منصة X عن وجود عيب تصميم عالي الخطورة في ميزة استعادة الحسابات لدى Meta: إذ يكفي للمهاجم إدخال اسم مستخدم مستخدم META فقط، دون الحاجة إلى أي تسجيل دخول أو تحقق، للحصول مباشرة على معلومات PII الكاملة المرتبطة بالمستخدم، مثل البريد الإلكتروني ورقم الهاتف. ذكرت صحيفة “ذا ميل” البريطانية أن International Cyber Digest تحققت من هذا الخلل.

توصيات GoPlus الأمنية

أصدرت GoPlus إجراءات حماية للمستخدمين تجاه هذا الخلل:

· إزالة أو استبدال البريد الإلكتروني/رقم الهاتف اللذين تم تسريباهما كطريقة لاستعادة الحساب

· تغيير كلمات مرور الحسابات ذات الصلة وتفعيل التحقق بخطوتين (2FA)

· عدم النقر على أي رسائل بريد إلكتروني أو رسائل نصية تتعلق بـ“شذوذ الحساب” أو“التحقق” أو“إعادة تعيين كلمة المرور”

· التحقق عبر قنوات متعددة: التحقق من صحة المعلومات عبر الوثائق الرسمية أو عبر قنوات مجتمعية رسمية أخرى

أمثلة موثقة لتأثير الخلل

أكدت International Cyber Digest في منشور على منصة X قائلة: “يبدو أن Meta تعاني من مشكلة كبيرة مرة أخرى: إذ تتيح ميزة استعادة الحسابات لديها الحصول على معلومات الهوية الشخصية الكاملة للحساب اعتماداً على اسم المستخدم فقط، بما في ذلك البريد الإلكتروني وأرقام الهواتف. لقد تحققنا من هذا الادعاء ووجدنا أنه يخص حسابات وسائل تواصل اجتماعي لعدد من الشخصيات العامة.”

تشمل الحسابات المؤكدة المتأثرة: لاعب كرة القدم في مدريد Kylian Mbappé (تم تسريب معلومات حساب TikTok الخاص به)، زوجة Cristiano Ronaldo Georgina Rodriguez، حساب إنستغرام سابق للبيت الأبيض (كان يتبع في الأصل Barack Obama، ولديه أكثر من 2.4 مليون من المتابعين) ومهندسة أمن سابقة لدى Meta Jane Manchun Wong. كما أشار GoPlus إلى أن المجتمع قد نشر معلومات شخصية مرتبطة بحساب META الخاص بـ Mark Zuckerberg للتحقق من وجود الخلل.

الأسئلة الشائعة

ما هي طريقة الهجوم المحددة لهذا الخلل؟

وفقاً لما ذكرته GoPlus وInternational Cyber Digest، يقوم المهاجمون عبر ميزة استعادة الحساب لدى Meta بإدخال اسم المستخدم الخاص بالحساب المستهدف فقط، دون الحاجة إلى أي بيانات اعتماد لتسجيل الدخول أو تحقق من الهوية، ثم يمكنهم مباشرة الاستعلام عن PII الكاملة المرتبطة بهذا الحساب، بما في ذلك عنوان البريد الإلكتروني ورقم الهاتف.

ما رد Meta على هذا الخلل؟

وفقاً للتقارير، قالت Meta لاحقاً إن “المشكلة تم حلها”، لكنها لم تكشف علناً عن طريقة إصلاح الخلل أو وقت اكتشافه أو حجم المستخدمين المتأثرين.

ما علاقة هذا الخلل بخلل روبوت Meta AI الدردشية؟

الخللان يمثلان حادثي أمان مختلفين، لكن توقيتهما متقارب. تم الكشف عن خلل روبوت Meta AI الدردشية في وقت سابق، واُستخدم لتغيير كلمات مرور الآخرين، ما أدى إلى سرقة نحو 100 حساب عالي القيمة؛ أما تسريب PII عبر خلل ميزة استعادة الحسابات فهو خلل تصميم تم الكشف عنه حديثاً، وحدث بعد عدة أيام من واقعة خلل روبوت الدردشة.