GoPlus mengungkapkan kelemahan desain berisiko tinggi Meta, pemulihan fungsi membocorkan informasi sensitif pengguna

Perusahaan keamanan blockchain GoPlus mengungkapkan di X pada 8 Juni bahwa terdapat kelemahan desain berisiko tinggi pada fitur pemulihan akun Meta: penyerang hanya perlu memasukkan nama pengguna pengguna META, tanpa perlu proses login atau verifikasi apa pun, untuk langsung memperoleh PII lengkap (informasi sensitif pribadi) yang terikat pada akun, seperti alamat email dan nomor ponsel. Harian Inggris Metro melaporkan bahwa International Cyber Digest telah memverifikasi celah ini.

Saran Keamanan GoPlus

GoPlus mengeluarkan langkah perlindungan pengguna untuk celah ini:

· Hapus atau ganti email/nomor ponsel yang bocor sebagai metode pemulihan akun

· Ubah kata sandi akun terkait dan aktifkan autentikasi dua faktor (2FA)

· Jangan mengklik email atau pesan singkat apa pun yang terkait dengan “akun tidak biasa”, “verifikasi”, atau “reset kata sandi”

· Verifikasi melalui banyak saluran: melalui dokumen resmi atau kanal media sosial resmi lainnya untuk memverifikasi kebenaran informasi

Contoh Dampak Celah yang Sudah Dikonfirmasi

International Cyber Digest dalam unggahan di platform X mengonfirmasi: “Meta lagi-lagi bermasalah besar: fitur pemulihan akunnya memungkinkan pengambilan informasi identitas pribadi akun yang lengkap hanya dengan nama pengguna, termasuk email dan nomor telepon. Kami memverifikasi klaim ini dan menemukan adanya akun media sosial milik beberapa figur publik.”

Akun yang dikonfirmasi terdampak meliputi: pemain Madrid Kylian Mbappé (kebocoran info akun TikTok pribadinya), istri Cristiano Ronaldo Georgina Rodriguez, akun Instagram mantan Gedung Putih (sebelumnya milik Barack Obama, dengan pengikut lebih dari 2,4 juta) serta mantan insinyur keamanan Meta Jane Manchun Wong. GoPlus juga menambahkan bahwa komunitas telah mempublikasikan data pribadi yang terkait dengan akun META Mark Zuckerberg untuk memverifikasi keberadaan celah tersebut.

Pertanyaan yang Sering Diajukan

Apa bentuk serangan spesifik untuk celah ini?

Menurut penjelasan GoPlus dan International Cyber Digest, penyerang memanfaatkan fitur pemulihan akun Meta: hanya dengan memasukkan nama pengguna akun target, tanpa kredensial login atau verifikasi identitas apa pun, penyerang dapat langsung melakukan pencarian untuk PII lengkap yang terikat pada akun tersebut, termasuk alamat email dan nomor ponsel.

Bagaimana respons Meta terhadap celah ini?

Berdasarkan laporan, Meta kemudian menyatakan “masalah ini sudah diselesaikan”, tetapi Meta tidak mempublikasikan cara penambalan celah, waktu ditemukannya, atau skala pengguna yang terdampak.

Apa hubungan celah ini dengan celah pada chatbot Meta AI?

Dua celah ini adalah peristiwa keamanan yang berbeda, tetapi berdekatan waktunya. Celah pada chatbot Meta AI lebih dulu terungkap, dimanfaatkan untuk mengubah kata sandi pihak lain, yang telah menyebabkan sekitar 100 akun bernilai tinggi dicuri; kebocoran PII pada fitur pemulihan akun adalah kelemahan desain yang baru terungkap dalam kejadian kali ini, terjadi beberapa hari setelah peristiwa celah chatbot.