मेटा खाता पुनर्प्राप्ति सुविधा में उच्च-जोखिम डिजाइन दोष पाया गया

ME News के अनुसार, 8 जून (UTC+8), GoPlus ने X प्लेटफॉर्म पर एक पोस्ट किया कि Meta अकाउंट रिकवरी फ़ंक्शन में एक उच्च-खतरा डिज़ाइन दोष पाया गया है, जिससे उपयोगकर्ता का मोबाइल नंबर, ईमेल और PII (व्यक्तिगत संवेदनशील जानकारी) सीधे लीक हो सकती है। हमलावर को केवल Meta उपयोगकर्ता नाम दर्ज करने की आवश्यकता है, बिना किसी लॉगिन या प्रमाणीकरण के, ताकि वे उपयोगकर्ता के संबद्ध ईमेल, मोबाइल नंबर आदि पूर्ण PII प्राप्त कर सकें। इससे उपयोगकर्ताओं को बड़े पैमाने पर फ़िशिंग हमले, SIM स्वैप हमले, अकाउंट हैकिंग और पहचान चोरी, सटीक सामाजिक इंजीनियरिंग हमलों का खतरा हो सकता है। सुझाव: पहले से लीक हुए ईमेल/मोबाइल नंबर को रिकवरी तरीके के रूप में हटा दें या बदल दें; संबंधित अकाउंट का पासवर्ड बदलें और 2FA सक्षम करें; किसी भी "अकाउंट असामान्य", "प्रमाणीकरण" या "पासवर्ड रीसेट" से संबंधित ईमेल या SMS पर क्लिक मत करें; बहु-चैनल प्रमाणीकरण सेट करें, और आधिकारिक दस्तावेज़ या आधिकारिक सोशल मीडिया चैनलों के माध्यम से पुष्टि करें। (स्रोत: ChainCatcher)