GoPlus 披露 Meta 高危設計缺陷，恢復功能洩露用戶敏感資訊

區塊鏈安全公司 GoPlus 於 6 月 8 日在 X 披露，Meta 帳戶恢復功能存在高危設計缺陷：攻擊者僅需輸入 META 用戶名，無需任何登入或驗證，即可直接取得用戶綁定的郵箱、手機號碼等完整 PII（個人敏感資訊）。英國《地鐵報》報道，International Cyber Digest 已驗證此漏洞。

GoPlus 的安全建議

GoPlus 針對此漏洞發布的使用者保護措施：

· 移除或更換已洩露的郵箱/手機號碼作為帳戶恢復方式

· 修改相關帳號密碼並啟用雙重驗證（2FA）

· 不點擊任何「帳戶異常」「驗證」「重設密碼」相關的郵件或簡訊

· 多渠道核實：透過官方文件或官方其他社群媒體管道驗證資訊真實性

已確認的漏洞影響案例

International Cyber Digest 在 X 平台發文確認：「Meta 又出大問題了：它的帳戶恢復功能允許僅憑用戶名即可取得完整的帳戶個人身份信息，包括電子郵件和電話號碼。我們核實了這一說法，並發現了屬於幾位公眾人物的社交媒體帳戶。」

受影響的確認帳號包括：馬德里球員 Kylian Mbappé（洩露其個人 TikTok 帳號資訊）、Cristiano Ronaldo 妻子 Georgina Rodriguez、前白宮 Instagram 帳號（原屬 Barack Obama，粉絲逾 240 萬）及前 Meta 安全工程師 Jane Manchun Wong。GoPlus 另指出，社群已公開了 Mark Zuckerberg 的 META 帳號關聯個人資訊，以驗證漏洞的存在。

常見問題

此漏洞的具體攻擊方式是什麼？

根據 GoPlus 和 International Cyber Digest 的說明，攻擊者透過 Meta 的帳戶恢復功能，僅需輸入目標帳號的用戶名，無需任何登入憑證或身份驗證，即可直接查詢到與該帳號綁定的完整 PII，包括郵件地址和手機號碼。

Meta 對此漏洞的回應是什麼？

根據報道，Meta 隨後表示「該問題已解決」，但 Meta 未公開說明漏洞的修補方式、發現時間或受影響用戶規模。

此漏洞與 Meta AI 聊天機器人漏洞有何關係？

兩個漏洞是不同的安全事件，但時間接近。Meta AI 聊天機器人漏洞較早曝光，被用於更改他人密碼，已導致約 100 個高價值帳戶被盜；帳戶恢復功能的 PII 洩漏漏洞為此次新曝光的設計缺陷，發生在聊天機器人漏洞事件後數天。