我能查看Instagram 所有用戶的私人郵件和生日信息

尼泊爾研究員Saugat Pokharel公開了自己近期發(fā)現(xiàn)的一個(gè)Instagram漏洞的詳情。如下是正文：

10月22日，正當(dāng)我查看一些安全/隱私問題時(shí)，發(fā)現(xiàn)Facebook公司新推出一款新的app，名叫Facebook Business Suite。

什么是Business Suite？

Business Suite是頁面管理器app（用于管理Facebook Pages的app）的升級(jí)版本。在Business Suite中，業(yè)務(wù)管理員可以將Facebook頁面和Instagram賬戶進(jìn)行鏈接，之后管理員能夠創(chuàng)建或調(diào)度帖子，查看分析、信息或通過一個(gè)應(yīng)用就可以在Instagram和Facebook上回復(fù)評(píng)論（Business Suite的訪問地址：business.facebook.com）。

我通過PageName>Settings>Instagram將自己的個(gè)人Instagram賬戶和Facebook Page連接起來。之后我就可以通過Business Suite回復(fù)Instagram的收件箱了。

當(dāng)我回復(fù)一個(gè)朋友的郵件時(shí)，右上角的Business Suite引起了我的注意。那是朋友給我發(fā)的郵件，我問了朋友是否將郵件的隱私設(shè)置為公開。她無法確認(rèn)自己的選項(xiàng)，于是我快速搜索了關(guān)于Instagram的郵件隱私設(shè)置。

Instagram的官方頁面清楚地提到，郵件地址對(duì)他人不可見，于是我有99%的把握認(rèn)為這是一個(gè)bug。

同時(shí)，我進(jìn)入Instagram app>Edit Profile>Personal Information Settings。即使這里也提到了郵件、電話號(hào)碼、性別和出生日期對(duì)他人不可見?？梢钥隙ǎ@確實(shí)是個(gè)bug!

當(dāng)我打開和另外一個(gè)朋友的對(duì)話窗口時(shí)，我也可以看到他的郵件地址。我想嘗試是否可以提取到非公開用戶的郵件地址。于是，我創(chuàng)建了一個(gè)測試賬戶并將隱私性設(shè)置為“非公開”。接著從自己的Instagram賬戶對(duì)這個(gè)測試賬戶寫了一條信息。結(jié)果這條信息出現(xiàn)在了Business Suite中。確認(rèn)無疑，我也可以查看非公開用戶的郵件地址。

接著我又創(chuàng)建了一個(gè)賬戶并將設(shè)置修改為：僅關(guān)注的用戶可以向我發(fā)送信息。開始向這個(gè)用戶寫信息后如我所料，信息并未發(fā)送但在Business Suite中打開了一個(gè)聊天窗口，且賬戶的郵件地址也被公開。我震驚了。

于是，我意識(shí)到，只要向任意用戶寫信息，就能夠暴露他們的郵件地址。即使將賬戶設(shè)置為“非公開“且將賬戶設(shè)置為不接收來自外部的直接消息，也受該攻擊影響。事不宜遲，我馬上向Facebook寫了一份漏洞報(bào)告，并附上詳細(xì)說明和視頻PoC。

我在一個(gè)工作組，可以和Facebook公司的安全工程師直接交流，于是我通知這名工程師查看我的報(bào)告，以免落入不太好的家伙手中。接著問題被診斷并在不到2小時(shí)的時(shí)間里修復(fù)。于是，個(gè)人郵件暴露問題得到解決。

注意到補(bǔ)丁的8到9小時(shí)后，我收到安全團(tuán)隊(duì)的信息稱漏洞已修復(fù)，并請(qǐng)我查看問題是否已修復(fù)。結(jié)果，我又發(fā)現(xiàn)了一個(gè)問題：

任意用戶的出生日期被暴露

我查看修復(fù)方案時(shí)，發(fā)現(xiàn)同樣的地方還會(huì)泄露任意Instagram用戶的出生日期。我又震驚了。之后我回復(fù)稱出生日期也可遭泄露。Facebook公司的工程師表示他們已經(jīng)從我提交的漏洞報(bào)告中發(fā)現(xiàn)了出生日期的問題，目前正在修復(fù)。

第二天，出生日期的問題也得到修復(fù)。但在調(diào)查過程中我發(fā)現(xiàn)，僅有手動(dòng)注冊(cè)了Instagram的用戶才會(huì)泄露出生日期的信息。于是，借此我可以攔截不管是否通過Login with Facebook方法創(chuàng)建Instagram賬戶的用戶。我認(rèn)為這又是一個(gè)隱私問題：

If birthday disclosed=Manually signed up

If birthday not disclosed=Logged in with Facebook

我迫不及待地想知道會(huì)有多少獎(jiǎng)金了。不過我已經(jīng)知道因?yàn)檫@個(gè)問題對(duì)用戶隱私而言是個(gè)非常嚴(yán)重的問題，因此獎(jiǎng)金應(yīng)該不少。經(jīng)過7周的耐心等待后，F(xiàn)acebook公司發(fā)出了5位數(shù)的獎(jiǎng)金。我的激動(dòng)心情溢于言表，因?yàn)檫@是我至今收到的最大一筆獎(jiǎng)金！

時(shí)間線

2020年10月22日，下午6:59：發(fā)送首份報(bào)告

2020年10月23日：漏洞診斷

2020年10月23日：郵件暴露問題修復(fù)

2020年10月28日：出生日期暴露問題修復(fù)

2020年12月16日：收到獎(jiǎng)金13125美元