我能查看Instagram 所有用户的私人邮件和生日信息

小提示：您能找到这篇{我能查看Instagram 所有用户的私人邮件和生日信息}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的我能查看Instagram 所有用户的私人邮件和生日信息内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">尼泊尔研究员Saugat Pokharel公开了自己近期发现的一个Instagram漏洞的详情。如下是正文：

< ">10月22日，正当我查看一些安全/隐私问题时，发现Facebook公司新推出一款新的app，名叫Facebook Business Suite。

< ">什么是Business Suite？

< ">Business Suite是页面管理器app（用于管理Facebook Pages的app）的升级版本。在Business Suite中，业务管理员可以将Facebook页面和Instagram账户进行链接，之后管理员能够创建或调度帖子，查看分析、信息或通过一个应用就可以在Instagram和Facebook上回复评论（Business Suite的访问地址：business.facebook.com）。

< ">我通过PageName>Settings>Instagram将自己的个人Instagram账户和Facebook Page连接起来。之后我就可以通过Business Suite回复Instagram的收件箱了。

< ">当我回复一个朋友的邮件时，右上角的Business Suite引起了我的注意。那是朋友给我发的邮件，我问了朋友是否将邮件的隐私设置为公开。她无法确认自己的选项，于是我快速搜索了关于Instagram的邮件隐私设置。

< ">Instagram的官方页面清楚地提到，邮件地址对他人不可见，于是我有99%的把握认为这是一个bug。

< ">同时，我进入Instagram app>Edit Profile>Personal Information Settings。即使这里也提到了邮件、电话号码、性别和出生日期对他人不可见。可以肯定，这确实是个bug!

< ">当我打开和另外一个朋友的对话窗口时，我也可以看到他的邮件地址。我想尝试是否可以提取到非公开用户的邮件地址。于是，我创建了一个测试账户并将隐私性设置为“非公开”。接着从自己的Instagram账户对这个测试账户写了一条信息。结果这条信息出现在了Business Suite中。确认无疑，我也可以查看非公开用户的邮件地址。

< ">接着我又创建了一个账户并将设置修改为：仅关注的用户可以向我发送信息。开始向这个用户写信息后如我所料，信息并未发送但在Business Suite中打开了一个聊天窗口，且账户的邮件地址也被公开。我震惊了。

< ">于是，我意识到，只要向任意用户写信息，就能够暴露他们的邮件地址。即使将账户设置为“非公开“且将账户设置为不接收来自外部的直接消息，也受该攻击影响。事不宜迟，我马上向Facebook写了一份漏洞报告，并附上详细说明和视频PoC。

< ">我在一个工作组，可以和Facebook公司的安全工程师直接交流，于是我通知这名工程师查看我的报告，以免产品问题危机公关落入不太好的家伙手中。接着问题被诊断并在不到2小时的时间里修复。营销趋势于是，个人邮件暴露问题得到解决。

< ">注意到补丁的8到9小时后，我收到安全团队的信息称漏洞已修复，并请我查看问题是否已修复。结果，我又发现了一个问题：

< ">任意用户的出生日期被暴露

< ">我查看修复方案时，发现同样的地方还会泄露任意Instagram用户的出生日期。我又震惊了。之后我回复称出生日期也可遭泄露。Facebook公司的工程师表示他们已经从我提交的漏洞报告中发现了出生日期的问题，目前正在修复。

< ">第二天，出生日期的问题也得到修复。但在调查过程中我发现，仅有手动注册了Instagram的用户才会泄露出生日期的信息。于是，借此我可以拦截不管是否通过Login with Facebook方法创建Instagram账户的用户。我认为这又是一个隐私问题：

< ">If birthday disclosed=Manually signed up

< ">If birthday not disclosed=Logged in with Facebook

< ">我迫不及待地想知道会有多少奖金了。不过我已经知道因为这个问题对用户隐私而言是个非常严重的问题，因此奖金应该不少。经过7周的耐心等待后，Facebook公司发出了5位数的奖金。我的激动心情溢于言表，因为这是我至今收到的最大一笔奖金！

< ">时间线

< ">2020年10月22日，下午6:59：发送首份报告

< ">2020年10月23日：漏洞诊断

< ">2020年10月23日：邮件暴露问题修复

< ">2020年10月28日：出生日期暴露问题修复

< ">2020年12月16日：收到奖金13125美元