GoPlus revela falhas de alto risco no design da Meta, restaurando a fuga de funcionalidade que expõe informações sensíveis dos utilizadores

A empresa de segurança blockchain GoPlus revelou no X, a 8 de junho, que existe uma falha crítica de design na funcionalidade de recuperação de contas da Meta: um atacante só precisa de introduzir o nome de utilizador da conta META, sem qualquer login ou verificação, para obter diretamente a PII completa (informação pessoal sensível) associada ao utilizador, como e-mail e número de telemóvel. Segundo o jornal britânico «Metro», a International Cyber Digest já confirmou esta vulnerabilidade.

Recomendações de segurança da GoPlus

A GoPlus divulgou medidas de proteção ao utilizador para esta vulnerabilidade:

· Remover ou substituir os e-mails/números de telefone divulgados como método de recuperação de conta

· Alterar as palavras-passe das contas afetadas e ativar autenticação de dois fatores (2FA)

· Não clicar em quaisquer e-mails ou SMS relacionados com «anomalia na conta», «verificação» ou «redefinição de palavra-passe»

· Verificação multicanal: validar a veracidade das informações através de documentos oficiais ou de outros canais oficiais de comunidades nas redes sociais

Casos de impacto da vulnerabilidade confirmados

A International Cyber Digest publicou no X a confirmação: «A Meta voltou a ter um grande problema: a sua funcionalidade de recuperação de contas permite obter informações completas de identidade pessoal da conta apenas com o nome de utilizador, incluindo e-mail e número de telefone. Confirmámos esta alegação e encontrámos contas de redes sociais pertencentes a várias figuras públicas.»

As contas confirmadas como afetadas incluem: o jogador do Madrid Kylian Mbappé (divulgadas as informações da sua conta TikTok pessoal), a esposa de Cristiano Ronaldo, Georgina Rodriguez, a antiga conta de Instagram da Casa Branca (anteriormente de Barack Obama, com mais de 2,4 milhões de fãs) e a antiga engenheira de segurança da Meta Jane Manchun Wong. A GoPlus acrescentou ainda que a comunidade já tinha divulgado informações pessoais associadas à conta META de Mark Zuckerberg para validar a existência da falha.

Perguntas frequentes

Qual é o método de ataque específico desta vulnerabilidade?

De acordo com a explicação da GoPlus e da International Cyber Digest, o atacante recorre à funcionalidade de recuperação de conta da Meta: basta introduzir o nome de utilizador da conta-alvo, sem qualquer credencial de login ou verificação de identidade, para consultar diretamente a PII completa associada àquela conta, incluindo o endereço de e-mail e o número de telemóvel.

Como respondeu a Meta a esta vulnerabilidade?

Segundo a notícia, a Meta afirmou posteriormente que «o problema já está resolvido», mas não divulgou publicamente como foi corrigida a falha, quando foi detetada ou a dimensão do conjunto de utilizadores afetados.

Qual é a relação entre esta vulnerabilidade e a falha do robô de conversação da Meta AI?

As duas vulnerabilidades são eventos de segurança distintos, mas com proximidade temporal. A falha do robô de conversação da Meta AI foi divulgada mais cedo e foi usada para alterar as palavras-passe de outras pessoas, tendo levado ao roubo de cerca de 100 contas de elevado valor; a falha de divulgação de PII na funcionalidade de recuperação de contas é uma falha de design agora divulgada, que ocorreu alguns dias após o incidente do robô de conversação.