freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

挖洞经验 | 看我如何获取任意Instagram用户的个人隐私信息
2020-12-24 17:38:49

在该Writeup中,作者通过测试Facebook商务套件(Facebook Business Suite)应用APP,发现可以从其中的页面消息部份(page messaging section)泄露与Facebook绑定的Instagram用户隐私信息,攻击者利用该Bug漏洞可以获取与其进行Instagram交流的任意用户的个人邮箱、出生年月等个人敏感信息。

Facebook商务套件(Facebook Business Suite)

Facebook商务套件(Facebook Business Suite)是Facebook推出的升级版商务应用APP,Facebook商务应用管理员可以通过 Facebook Business Suite 一站式管理 Facebook 和 Instagram 的所有绑定帐户。Facebook Business Suite 提供了各种各样的免费工具,可以帮助Facebook商务应用管理员更加轻松地管理自己的品牌形象,可以借助 Business Suite 一站式管理品牌形象,同时还能触达更多用户,把握最新的动态资讯。普通用户可以通过 business.facebook.com访问Facebook商务套件主页。

漏洞发现

首先,我可以通过我Facebook Page(脸书专页)的PageName>Settings>Instagram,来绑定自己的Instagram账户,这样我就能从Facebook商务套件中的Instagram收件箱来进行Instagram交流。

当我在其中回复一个朋友时,Facebook商务套件通话框右上角的信息引起了我的注意,其中竟然清楚地显示了我朋友的email邮箱地址,之后,我询问他是否把他自己的邮箱地址设置为隐私状态,但他无法确定。我马上又深入查询了Instagram用户的邮箱地址隐私策略。

通过查询可知,Instagram官方主页清楚地提到,用户email邮箱地址属于用户隐私,其他用户是不可见的,因此我确定这无疑应该是个bug了。

另外,我又从Instagram APP应用的Edit Profile>Personal Information Settings个人设置中看到,其中明确说明,用户的email邮箱、手机号码、性别和出生年月完全属于个人隐私,不可对其他用户可见。

因此,当我以上述方式和朋友交流时,就可以从通话框中完全看到对方的email邮箱、手机号码、性别和出生年月等个人隐私信息。之后,我又想如果对方用户把这些信息设置为只是个人可见的隐私状态,又会怎样?我这种方式还能看到他的隐私信息吗?

于是,我又马上注册了一个Instagram账户,把其中的个人信息设置为隐私状态,然后在Facebook商务套件中,用我原始的Instagram账号和该账号进行交流,BINGO,我仍然可以从通话框中完整地看到其个人信息。这让我震惊到了。

也就是说,我可以通过这种Facebook商务套件中的Instagram通信,获取到任意Instagram用户的个人信息,即使是把个人信息设置为隐私状态或是设置不接收私信的用户,都不在话下,受此影响。然后,我立马以POC视频的方式向Facebook安全团队进行了上报。由于我的一个朋友是Facebook安全团队工程师,我麻烦请他尽快跟进该漏洞,果然,漏洞上报两小时后,个人email邮箱泄露的问题就得到了修复。8个多小时后,Facebook安全团队就邮件告知我,整个漏洞已经得到修复,他们又邀请我再次进行了复测。然而,复测之后我又发现了另外一个问题。

复测发现个人出生年月信息仍存在泄露

我再次测试后发现,还是在原来的对话框位置,仍然存在着对方用户个人出生年月信息泄露的问题,告知Facebook后,他们有些不解,深入分析后我发现,原来是这样的:如果用户通过手工注册了Instagram账户,那么这些类型的Instagram用户就会存在这种出生年月信息泄露;如果用户是通过Facebook登录跳转过来的,就不存在这种出生年月信息泄露。这好像又构成了另外一种隐私泄露,即:

出生年月信息泄露 = 对方用户是手工注册的Instagram账户
出生年月信息未泄露 = 对方用户是通过Facebook登录跳转过来的

漏洞奖励

第二天该问题总算得到了修复。接下来,我知晓对于Facebook来说,只要涉及到用户隐私的漏洞一般都会是好洞,漏洞奖励也会相对较高。果不其然,经过了漫长的7个星期后,我收获了Facebook奖励的$13,125。

漏洞上报和处理进程

2020.10.22   漏洞初报
2020.10.23   漏洞分类
2020.10.23   个人email邮箱泄露问题得到修复
2020.10.28   个人出生年月信息泄露问题得到修复
2020.12.16   Facebook奖励了我$13,125

参考来源:medium

本文作者:, 转载请注明来自FreeBuf.COM

# facebook漏洞 # 个人隐私 # 任意Instagram用户
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑