据 GoPlus 称,Meta 的账户恢复功能包含一个关键设计缺陷,会泄露用户电话号码、电子邮件地址以及个人身份信息(PII)。攻击者只需输入一个 Meta 用户名即可获取完整的 PII,无需任何登录或验证。该漏洞可能使钓鱼攻击、SIM 卡交换、账户接管以及针对性的社交工程攻击成为可能。