概述

国外白帽子发现 Facebook Business Suite 正在从页面消息泄露有关 Instagram 用户的私人信息。

利用此漏洞，攻击者只需通过向任何 Instagram 用户发送消息即可获取他们的私人电子邮件和生日。

Business Suite

Business Suite 是页面管理器应用程序（用于管理 Facebook 页面的应用程序）的升级版本。在 Business Suite 中，业务管理员可以将他们的 Facebook 页面与其 Instagram 帐户链接起来。

然后，管理员可以使用单个应用程序在 Instagram 和 Facebook 上创建或计划发帖、查看分析、消息或回复评论。Business Suite 也可以通过桌面版访问 Business.facebook.com。

通过以下方式可以将自己的个人 Instagram 帐户与 Facebook 页面连接：Page Name>Settings>Instagram：

当将自己的个人 Instagram 帐户连接到该页面后，就可以通过 Business Suite 回复个人的 Instagram 收件箱。

当白帽小哥回复一位朋友时，在 Business Suite 右上角看到的一封电子邮件引起了他的注意。有一封“她”的电子邮件，白帽小哥询问他的这位女性朋友的电子邮件的隐私是否公开，但这位姑娘也无法十分肯定。

于是白帽小哥迅速在 Instagram 上搜索了有关电子邮件隐私的信息。

file

Instagram 的官方帮助页面上，明确提到电子邮件地址对其他用户不可见，于是白帽小哥 99% 确定这是一个漏洞。

file

此外，白帽小哥还进入了 Instagram app >Edit Profile>Personal Information Settings，即使在这里，也提到其他用户永远无法看到你的个人电子邮件、电话号码、性别和出生日期。

file

当白帽小哥打开与另一位朋友的对话窗口时，同样也可以查看到他的电子邮件地址。于是白帽小哥尝试是否可以获取到用户的私人电子邮件地址。

说干就干，白帽小哥迅速创建了一个测试 Instagram 帐户并将隐私设置为私人。

然后，从 Instagram 帐户向该帐户写了一条消息，现在，该消息出现在 Business Suite 中，白帽小哥能够查看任意私人用户的电子邮件地址。

然后白帽小哥又创建了另一个帐户并将设置为：只有关注者可以向本人发送消息。

白帽小哥又给该帐户写了一条消息。如预期的那样，消息无法发送，但却在 Business Suite 中打开了一个聊天窗口，并且该帐户的电子邮件被公开。

白帽小哥意识到他可以通过向任何 Instagram 用户发送消息来泄露他们的电子邮件地址。即使设置为私人帐户和设置为不接受公众私信的帐户同样也会受到攻击。

白帽小哥第一时间向 Facebook 提交了该漏洞，Facebook 的工程师随后对该漏洞进行了快速分类，并在不到 2 小时内修复了该问题。

在漏洞修复后的 8-9 个小时，白帽小哥收到了安全团队发来的一条消息，说问题已得到解决。邀请白帽小哥检查补丁是否解决了问题。

白帽小哥在复测漏洞时发现一位 Instagram 用户的生日信息在同一个地方泄露了。于是白帽小哥回复安全团队提到生日信息会从同一个地方泄露。

Facebook 工程师根据白帽小哥的回复，迅速确定了生日信息泄露问题，并着手修复该问题。

第二天，生日信息泄露问题也得到了解决，但是，在复测过程中白帽小哥发现：只有那些手动注册 Instagram 的用户的生日才会泄露，这可能是另一个隐私泄露问题。

因为通过这种方式：白帽小哥能够推断用户是否通过“使用 Facebook 登录”方法创建了 Instagram 帐户。

如果生日泄露 = 手动注册

如果生日未泄露 = 使用 Facebook 登录

PoC 演示视频可移步油管： https://youtu.be/YeopEVjjtPI

经过7周的耐心等待，Facebook为这位白帽小哥发放了五位数的赏金奖励。

file

以上内容由骨哥翻译并整理。