Hi 你好呀,我是kevin, 欢迎关注:Meta增长实验室。今天我们继续聊一下facebook广告吧,隐藏管理员。
你买来的Facebook账号,可能从来不只是你一个人在用
很多刚开始跑Facebook广告的朋友,第一步都是去找号商买账号。这很正常——自己注册的号容易被限制,买成熟账号跑起来更顺。
号商在卖出账号之前,可能已经通过各种手段,在账号里深埋了一个你在后台完全看不见的管理员——业内称之为「隐藏管理员」(Hidden Admin)。
这个人能做什么?修改你的广告、动你的支付设置、甚至在某个深夜把你账户里的余额刷光,然后删除记录——你毫不知情。
01 隐藏管理员的四种产生方式(技术门槛由低到高)
在还没搭过坑之前,先看清楚号商具体在用展眺手段。了解动作模式,才能识别隐患。
这是最基础、使用最广的手段。利用了Facebook的一个底层设计特性:
关键原理:个人账号被「停用(Deactivate)」后,FB会将其从前端所有列表中隐藏,但底层的管理权限并没有删除。
操作流程:号商将自己控制的一个大号添加为Page或BM最高级管理员,然后将这个大号「停用」——不是注销,记住这个区分至关重要。
结果:买家打开管理员列表,看起来只有自己一个人。但这个「假死」的大号随时可以被重新登录激活,管理员身份立即「显形」并恢复操作。
方式二:BM系统用户(System User)与API授权
这是号商和高级代投用来留后门的专业手段,技术门槛更高。
关键原理:Facebook允许开发者为BM创建「系统用户」,它不对应真实个人,而是对应一个API Token。系统用户在普通的管理界面中完全不显示。
操作流程:在BM后台的「用户 → 系统用户」中添加一个新系统用户,赋予广告账号的Admin权限,并生成这个系统用户的长期有效Access Token。
这种方式最难清除:系统用户无法删除,只能 Revoke Token。大多数买家完全不知道还有这一层需要处理。
这是很多新手最容易被忻视的一种模式,因为它看起来完全合规。
关键原理:Facebook资产的最高权限属于「认领它」的BM,而不是个人的「主页管理员」。主页管理员将自己当老大,其实头顶还有一个根本看不见的BM在控制。
操作流程:号商的「母 BM」认领了公共主页,再通过「合作伙伴」功能把主页分配给买家的「子BM」。买家在子BM里把自己加为管理员,一切看起来正常。
实际状态:母 BM可以单方面撤销子BM的一切权限,且买家完全源不见底。你在管理员列表里看到的只是一个公司名称,而不知道背后哪些人在操控。
Facebook强制将用户从「经典版主页」升级到「新版公共主页」过程中,两套系统的权限逻辑存在错位。
通过某些特定的分配工具或Meta Business Suite的特定入口,给某人分配「部分访问权限(Task Access)」。在某些特定界面下,这种权限的人会被折叠或无法显示在常规列表里,从而达到视觉隐藏的目的。
02 这不是小概率事件:损失谱,几百到500万美金
广告圈有一句话:「盗刷不分大小号」。以下分别来自公开平台和广告社区的真实案例,损失金额由小到大逐级递进——你会发现,无论哪个量级都在被刷的射程之内。
案例一:一夜被刷$10,000+,每个账户精确定劉$3,350
某广告投手发帖求助:单夜多个账户同时遭遇盗刷,累计损失超过1万美金。盗刷者手法极具考究:选在账户时区刚刷新的凌晨时段动手,不新建广告系列而是在已关停的老系列中唄尔上线新广告,每个账户预算统一设为$3,350,约两小时刷完就迅速清除所有痕迹。(来源:Veryfb社区)
跨境导航平台DLZ123的博主记录:身边广告投手朋友在同一时期集中遭遇账户被盗用,合计损失近百万美金。这些账户的共同点:全都是从号商购买的个人号,号商利用先前预留的API授权静默上线广告并盗刷余额。(来源:DLZ123独立站导航)
AdsPower平台记录的案例:某一广告主账户被非法使用,导致200万美金(约人民庁1400万)广告费被窃取。同一平台还记录了另一位广告主因点击伪装Meta官方邮件的钓鱼链接,损失了20万美金。(来源:AdsPower官方博客)
案例四:Facebook官方合作伙伴,盗刷近500万美金——Meta拒赔
这是迄今公开的最大单一盗刷案例。北京公司INX与Facebook官方有深度合作,曾被官方当作成功案例公开引用。即便如此,2024年7月付被盗刷了近4996万美金广告费。Meta明确表示不予赔付,该公司准备聊请香港律师起诉Meta。(来源:Veryfb论坛)
Meta官方的赔付范围很清楚:如果你用了不是通过Meta官方渠道创建的资产(比如买来的号),被盗刷不赔一分。损失自负。
论坛中最常见且最雑的一种:买家买号后一切正常,一两个月后登录邮筱被更改、账号被天满截回。号商不是随机下手——往往等你把账号气养热、Pixel数据积累够了才出手。你花的广告费,最后是在帮号商养号。
五个案例拼成一个损失谱:数百美金→ 万元级 → 百万美金级 → 200万美金 → 近500万美金。不管你的账户规模多小,都在被刷的射程之内。
03 自查清单:拿到账号第一件事就做这几步
以下四个Step对应上面四种隐藏模式,拿到账号就按顺序检查一遍。
Step 1:检测个人广告账号隐藏管理员(针对方式一)
打开 Facebook 广告账号的「支付设置」页面
按 Ctrl+F,搜索关键词: bootstrapAccountAndTimezoneInfo
存在 name:null 字段 → 前面的数字ID就是隐藏管理员的用户ID
Step 2:删除隐藏管理员(Graph API)
第一步:获取 Access Token——打开广告管理后台,按F12,搜索 eaa 开头的字符串
https://graph.facebook.com/v13.0/act_广告账号ID/users?uid=隐藏管理员ID&access_token=你的Token&format=json&method=delete
Step 3:检查BM的这三个位置(针对方式二三)
People列表总人数 vs 可见人数:如果总数 > 可见数 = 存在隐藏管理员
系统用户(System Users):进入BM设置→用户→系统用户,检查并Revoke所有Token
合作伙伴(Partners):检查是否有不明的BM在此拥有对主页或资产的控制权,检查主页的「所有权(Owner)」归属
备用邮箱:前往 accountscenter.facebook.com → 联系方式,删除所有陌生邮筱
System User Token:在BM设置中 Revoke 所有系统用户Token(这步大多数人都漏了)
04 关于检测工具:解决一个风险,别引入另一个
fbspider:Veryfb社区自研,有社区背书,功能覆盖个人账号和BM隐藏管理员检测,相对可信度较高
SMIT Adscheck:越南团队开发,已从 Chrome 商店下架,被标记为信任度存疑,不建议使用
核心原则:任何第三方工具都需要你授权访问账户。用一个不透明的工具去解决另一个不透明的问题——风险并没有消失,只是转移了。
05 最后说一句
Facebook隐藏管理员问题,本质上是一个信息不对称造成的市场风险。号商掌握API层面的技术能力,而大多数新手只会使用前端界面。
「版权提示」:信息来自于互联网,不代表官方立场,内容仅供网友参考学习。如发现本站内容存在版权问题,烦请提供版权疑问、身份证明、版权证明、联系方式等发邮件至 contact@glosellers.com,我们将及时沟通与处理。如若转载请联系原出处。 「注意事项」:锦品出海(含网站、客户端等)所展示的商品/服务的标题、价格、详情等信息内容由实际供应商/服务商提供。如用户对商品/服务的标题、价格、详情等任何信息有任何疑问的,可直接同供应商/服务商沟通确认,其他问题,请向锦品出海客服咨询。因第三方供应商/服务商与用户因服务行为所发生的纠纷由第三方供应商/服务商与该用户自行处理或通过法律途径解决并自行承担法律后果。锦品出海根据用户申请可参与相关协调调解工作,但不对纠纷事项及调解工作承担任何责任。
