FB广告一夜之间10万美金没了——隐藏管理员四种挖坑的方式全拆解，附自查清单

Hi 你好呀，我是kevin, 欢迎关注：Meta增长实验室。今天我们继续聊一下facebook广告吧，隐藏管理员。

你买来的Facebook账号，可能从来不只是你一个人在用

很多刚开始跑Facebook广告的朋友，第一步都是去找号商买账号。这很正常——自己注册的号容易被限制，买成熟账号跑起来更顺。

但有一件事，几乎没人在交易前告诉你：

你「买」到的，可能只是使用权，而不是所有权。

号商在卖出账号之前，可能已经通过各种手段，在账号里深埋了一个你在后台完全看不见的管理员——业内称之为「隐藏管理员」（Hidden Admin）。

这个人能做什么？修改你的广告、动你的支付设置、甚至在某个深夜把你账户里的余额刷光，然后删除记录——你毫不知情。

01 隐藏管理员的四种产生方式（技术门槛由低到高）

在还没搭过坑之前，先看清楚号商具体在用展眺手段。了解动作模式，才能识别隐患。

方式一：账号停用/假死大法（最常见）

这是最基础、使用最广的手段。利用了Facebook的一个底层设计特性：

关键原理：个人账号被「停用（Deactivate）」后，FB会将其从前端所有列表中隐藏，但底层的管理权限并没有删除。

操作流程：号商将自己控制的一个大号添加为Page或BM最高级管理员，然后将这个大号「停用」——不是注销，记住这个区分至关重要。

结果：买家打开管理员列表，看起来只有自己一个人。但这个「假死」的大号随时可以被重新登录激活，管理员身份立即「显形」并恢复操作。

方式二：BM系统用户（System User）与API授权

这是号商和高级代投用来留后门的专业手段，技术门槛更高。

关键原理：Facebook允许开发者为BM创建「系统用户」，它不对应真实个人，而是对应一个API Token。系统用户在普通的管理界面中完全不显示。

操作流程：在BM后台的「用户 → 系统用户」中添加一个新系统用户，赋予广告账号的Admin权限，并生成这个系统用户的长期有效Access Token。

这种方式最难清除：系统用户无法删除，只能 Revoke Token。大多数买家完全不知道还有这一层需要处理。

方式三：BM所有权隔离（正规玩法的降维打击）

这是很多新手最容易被忻视的一种模式，因为它看起来完全合规。

关键原理：Facebook资产的最高权限属于「认领它」的BM，而不是个人的「主页管理员」。主页管理员将自己当老大，其实头顶还有一个根本看不见的BM在控制。

操作流程：号商的「母 BM」认领了公共主页，再通过「合作伙伴」功能把主页分配给买家的「子BM」。买家在子BM里把自己加为管理员，一切看起来正常。

实际状态：母 BM可以单方面撤销子BM的一切权限，且买家完全源不见底。你在管理员列表里看到的只是一个公司名称，而不知道背后哪些人在操控。

方式四：新旧版主页切换漏洞（达到视觉隐藏）

Facebook强制将用户从「经典版主页」升级到「新版公共主页」过程中，两套系统的权限逻辑存在错位。

通过某些特定的分配工具或Meta Business Suite的特定入口，给某人分配「部分访问权限（Task Access）」。在某些特定界面下，这种权限的人会被折叠或无法显示在常规列表里，从而达到视觉隐藏的目的。

02 这不是小概率事件：损失谱，几百到500万美金

广告圈有一句话：「盗刷不分大小号」。以下分别来自公开平台和广告社区的真实案例，损失金额由小到大逐级递进——你会发现，无论哪个量级都在被刷的射程之内。

案例一：一夜被刷$10,000+，每个账户精确定劉$3,350

某广告投手发帖求助：单夜多个账户同时遭遇盗刷，累计损失超过1万美金。盗刷者手法极具考究：选在账户时区刚刷新的凌晨时段动手，不新建广告系列而是在已关停的老系列中唄尔上线新广告，每个账户预算统一设为$3,350，约两小时刷完就迅速清除所有痕迹。（来源：Veryfb社区）

案例二：多个朋友同期中招，合计据损近百万美金

跨境导航平台DLZ123的博主记录：身边广告投手朋友在同一时期集中遭遇账户被盗用，合计损失近百万美金。这些账户的共同点：全都是从号商购买的个人号，号商利用先前预留的API授权静默上线广告并盗刷余额。（来源：DLZ123独立站导航）

案例三：单个广告主被盗刷$200万美金

AdsPower平台记录的案例：某一广告主账户被非法使用，导致200万美金（约人民庁1400万）广告费被窃取。同一平台还记录了另一位广告主因点击伪装Meta官方邮件的钓鱼链接，损失了20万美金。（来源：AdsPower官方博客）

案例四：Facebook官方合作伙伴，盗刷近500万美金——Meta拒赔

这是迄今公开的最大单一盗刷案例。北京公司INX与Facebook官方有深度合作，曾被官方当作成功案例公开引用。即便如此，2024年7月付被盗刷了近4996万美金广告费。Meta明确表示不予赔付，该公司准备聊请香港律师起诉Meta。（来源：Veryfb论坛）

Meta官方的赔付范围很清楚：如果你用了不是通过Meta官方渠道创建的资产（比如买来的号），被盗刷不赔一分。损失自负。

案例五：养热账号一两个月，号商将账号收回

论坛中最常见且最雑的一种：买家买号后一切正常，一两个月后登录邮筱被更改、账号被天满截回。号商不是随机下手——往往等你把账号气养热、Pixel数据积累够了才出手。你花的广告费，最后是在帮号商养号。

五个案例拼成一个损失谱：数百美金→ 万元级 → 百万美金级 → 200万美金 → 近500万美金。不管你的账户规模多小，都在被刷的射程之内。

03 自查清单：拿到账号第一件事就做这几步

以下四个Step对应上面四种隐藏模式，拿到账号就按顺序检查一遍。

Step 1：检测个人广告账号隐藏管理员（针对方式一）

打开 Facebook 广告账号的「支付设置」页面

右键→ 查看网页源代码

按 Ctrl+F，搜索关键词： bootstrapAccountAndTimezoneInfo

在该行JSON数据中搜索 name:null

存在 name:null 字段 → 前面的数字ID就是隐藏管理员的用户ID

Step 2：删除隐藏管理员（Graph API）

第一步：获取 Access Token——打开广告管理后台，按F12，搜索 eaa 开头的字符串

第二步：在浏览器地址栏执行（替换对应内容）：

https://graph.facebook.com/v13.0/act_广告账号ID/users?uid=隐藏管理员ID&access_token=你的Token&format=json&method=delete

返回 success:true 即删除成功。

Step 3：检查BM的这三个位置（针对方式二三）

People列表总人数 vs 可见人数：如果总数 > 可见数 = 存在隐藏管理员

系统用户（System Users）：进入BM设置→用户→系统用户，检查并Revoke所有Token

合作伙伴（Partners）：检查是否有不明的BM在此拥有对主页或资产的控制权，检查主页的「所有权（Owner）」归属

Step 4：关闭剩下的所有后门

备用邮箱：前往 accountscenter.facebook.com → 联系方式，删除所有陌生邮筱

已登录设备：退出全部设备

双重验证2FA：重新绑定自己的手机号

System User Token：在BM设置中 Revoke 所有系统用户Token（这步大多数人都漏了）

04 关于检测工具：解决一个风险，别引入另一个

fbspider：Veryfb社区自研，有社区背书，功能覆盖个人账号和BM隐藏管理员检测，相对可信度较高

SMIT Adscheck：越南团队开发，已从 Chrome 商店下架，被标记为信任度存疑，不建议使用

核心原则：任何第三方工具都需要你授权访问账户。用一个不透明的工具去解决另一个不透明的问题——风险并没有消失，只是转移了。

05 最后说一句

Facebook隐藏管理员问题，本质上是一个信息不对称造成的市场风险。号商掌握API层面的技术能力，而大多数新手只会使用前端界面。

广告跑得好不好是结果，账户安全是前提。

关于博主

Kevin，前xTool广告优化师，7年facebook广告投放经验，年花费广告费用 2百万美金+。

作者联系方式：dtcpinpaichuhai

转发文章到朋友圈后，可以找作者领取一套Facebook广告投放基础教程。

本篇文章来源于微信公众号: Meta增长实验室

原创文章，作者：Meta增长实验室，如若转载，请注明出处：https://blog.wahuto.com/e-commerce_information/global_store/6290.html

FB广告一夜之间10万美金没了——隐藏管理员四种挖坑的方式全拆解，附自查清单

关于作者

Meta增长实验室优质作者

发表回复

FB广告 一夜之间10万美金没了——隐藏管理员四种挖坑的方式全拆解，附自查清单

关于作者

相关推荐

发表回复

FB广告一夜之间10万美金没了——隐藏管理员四种挖坑的方式全拆解，附自查清单