文章来源： EDI安全

简介：

我发现Facebook Business Suite从页面消息传递部分泄漏了有关Instagram用户的私人信息。此错误，攻击者仅通过向Instagram使用者发送消息即可获得个人电子邮件和生日。

什么是商务套件？

Business Suite是页面管理器应用程序（用于管理Facebook页面的应用程序）的升级版。在商务套件中，商务管理员可以将其Facebook页面与其Instagram帐户链接。然后，管理员可以使用单个应用程序在Instagram和Facebook中创建或安排帖子，查看分析，消息或回复评论。可以在桌面business.facebook.com上访问Business Suite 。

我通过以下方式将我自己的个人Instagram帐户与Facebook页面关联：PageName——Settings—— Instagram。

当我将自己的个人Instagram帐户连接到页面时，现在我可以通过商务套件回复我的Instagram收件箱了。

当我回复一个朋友时，我问我的朋友是否公开了电子邮件隐私权。她无法向我提供适当的确认。因此，我很快就在Instagram上搜索了电子邮件的隐私。

在Instagram的官方帮助页面中，明确提到其他用户看不到电子邮件地址。我99％确信这是一个错误。

然后，我转到了我的Instagram应用——编辑个人资料——个人信息设置。即使在那儿，也有人提到其他用户从不会看到电子邮件，电话号码，性别和生日。

当我打开与另一个朋友的对话窗口时，我也可以查看他的电子邮件地址。我想尝试是否可以获取私人用户的电子邮件地址。

因此，我创建了一个测试Instagram帐户，并将隐私更改为私有。然后，我从Instagram帐户向该帐户写了一条消息。现在，该消息出现在Business Suite和BINGO中。我也可以查看私人用户的电子邮件地址。

我创建了另一个帐户，并将其设置为：只有关注者可以向我发送消息。现在，我给该用户写了一条消息。但是，该消息未发送，但是这打开了商务套件中的聊天窗口，并且该帐户的电子邮件也被泄露。我感到震惊。

现在，我意识到我可以通过向任何Instagram用户发送邮件来公开他们的主要电子邮件地址。即使是设置为私有的帐户和设置为不接受来自公众的DM的帐户也容易受到此攻击。因此，我毫不拖延地立即向Facebook写了一份报告，提供详细说明和视频POC。

另外，我在一个工作组中，我们可以在Facebook中与安全工程师直接进行交流。因此，我通知一位安全工程师在我的报告被发现之前，先将其调查。然后，对该问题进行了快速分类，并在不到2小时的时间内将其解决。这样，个人电子邮件披露问题已得到解决。

在通知我8-9个小时后，我收到了安全团队的消息，说此问题已解决。我被要求检查补丁是否可以解决问题。接下来是另一部分：

任何用户的生日披露：

当我检查修复程序时，我看到一个Instagram用户的生日从同一个地方泄漏。我再次感到震惊。然后，我写了封信，说生日从同一个地方泄漏。Facebook工程师回答说，由于我的初次报告，他们已经确定了生日问题，并且正在研究解决方法。

第二天，生日问题也已解决。但是，在调查期间，我发现：生日只针对那些手动注册Instagram的用户。因此，通过这种方式：我能够推断用户是否通过使用Facebook登录方法创建了Instagram帐户。我认为这是另一个隐私问题。

如果披露了生日=手动签名
如果未披露生日=使用Facebook登录

这是生日披露问题的POC：https : //youtu.be/YeopEVjjtPI