我能查看Instagram 所有用户的私人邮件和生日信息
聚焦源代码安全,网罗国内外最新资讯!
尼泊尔研究员 Saugat Pokharel 公开了自己近期发现的一个 Instagram 漏洞的详情。如下是正文:
10月22日,正当我查看一些安全/隐私问题时,发现 Facebook 公司新推出一款新的 app,名叫 Facebook Business Suite。
什么是 Business Suite?
Business Suite 是页面管理器 app (用于管理 Facebook Pages 的app) 的升级版本。在 Business Suite 中,业务管理员可以将 Facebook 页面和 Instagram 账户进行链接,之后管理员能够创建或调度帖子,查看分析、信息或通过一个应用就可以在 Instagram 和 Facebook 上回复评论(Business Suite 的访问地址:business.facebook.com)。
我通过 PageName > Settings > Instagram 将自己的个人 Instagram 账户和 Facebook Page 连接起来。之后我就可以通过 Business Suite 回复 Instagram 的收件箱了。
当我回复一个朋友的邮件时,右上角的 Business Suite 引起了我的注意。那是朋友给我发的邮件,我问了朋友是否将邮件的隐私设置为公开。她无法确认自己的选项,于是我快速搜索了关于 Instagram 的邮件隐私设置。
Instagram 的官方页面清楚地提到,邮件地址对他人不可见,于是我有99%的把握认为这是一个 bug。
同时,我进入 Instagram app > Edit Profile > Personal Information Settings。即使这里也提到了邮件、电话号码、性别和出生日期对他人不可见。可以肯定,这确实是个bug!
当我打开和另外一个朋友的对话窗口时,我也可以看到他的邮件地址。我想尝试是否可以提取到非公开用户的邮件地址。于是,我创建了一个测试账户并将隐私性设置为“非公开”。接着从自己的 Instagram 账户对这个测试账户写了一条信息。结果这条信息出现在了 Business Suite 中。确认无疑,我也可以查看非公开用户的邮件地址。
接着我又创建了一个账户并将设置修改为:仅关注的用户可以向我发送信息。开始向这个用户写信息后如我所料,信息并未发送但在 Business Suite 中打开了一个聊天窗口,且账户的邮件地址也被公开。我震惊了。
于是,我意识到,只要向任意用户写信息,就能够暴露他们的邮件地址。即使将账户设置为“非公开“且将账户设置为不接收来自外部的直接消息,也受该攻击影响。事不宜迟,我马上向 Facebook 写了一份漏洞报告,并附上详细说明和视频 PoC。
我在一个工作组,可以和 Facebook 公司的安全工程师直接交流,于是我通知这名工程师查看我的报告,以免落入不太好的家伙手中。接着问题被诊断并在不到2小时的时间里修复。于是,个人邮件暴露问题得到解决。
注意到补丁的8到9小时后,我收到安全团队的信息称漏洞已修复,并请我查看问题是否已修复。结果,我又发现了一个问题:
任意用户的出生日期被暴露
我查看修复方案时,发现同样的地方还会泄露任意 Instagram 用户的出生日期。我又震惊了。之后我回复称出生日期也可遭泄露。Facebook 公司的工程师表示他们已经从我提交的漏洞报告中发现了出生日期的问题,目前正在修复。
第二天,出生日期的问题也得到修复。但在调查过程中我发现,仅有手动注册了 Instagram 的用户才会泄露出生日期的信息。于是,借此我可以拦截不管是否通过 Login with Facebook 方法创建 Instagram 账户的用户。我认为这又是一个隐私问题:
If birthday disclosed = Manually signed up
If birthday not disclosed = Logged in with Facebook
我迫不及待地想知道会有多少奖金了。不过我已经知道因为这个问题对用户隐私而言是个非常严重的问题,因此奖金应该不少。经过7周的耐心等待后,Facebook 公司发出了5位数的奖金。我的激动心情溢于言表,因为这是我至今收到的最大一笔奖金!
时间线
2020年10月22日,下午6:59:发送首份报告
2020年10月23日:漏洞诊断
2020年10月23日:邮件暴露问题修复
2020年10月28日:出生日期暴露问题修复
2020年12月16日:收到奖金13125美元
推荐阅读
看我如何黑掉 Facebook 并获奖金 $7500
Facebook 公开 APT32 身份,疑为越南本地一家 IT 公司
我发现Facebook Messenger漏洞可使安卓用户互相监听,获奖6万美元
Hacker Plus:Facebook 推出漏洞奖励 “忠诚计划”
原文链接
https://medium.com/nassec-cybersecurity-writeups/this-is-how-i-was-able-to-view-anyones-private-email-and-birthday-on-instagram-1469f44b842b
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
我能查看Instagram 所有用户的私人邮件和生日信息相关推荐
- 摊上事了! Facebook向用户手机发生日信息涉嫌违法
据<财富>网站(Fortune)报道,Facebook近日遭遇一起用户集体诉讼案,或将面临巨额赔偿. 美国佛罗里达州一名叫科林·布里克曼(Colin Brickman)的男子发起了这起对F ...
- git服务器查看用户信息,git 查看当前git用户_新Git用户使用方法
git 查看当前git用户 This post is a tutorial for new users to set up git and clone and use the first reposi ...
- ORACLE查看当前连接用户的权限信息或者角色信息
关于当前用户的相关信息,可以通过如下语句找到: 1 SQL> select * from all_objects where object_name like 'SESSION%'; 2 3 O ...
- 如何查看一个linux用户的口令保留策略
2019独角兽企业重金招聘Python工程师标准>>> 比如口令保留多少天,账户状态等 可以使用 chage -l username 比如要查看 sztech这个用户的信息 : [r ...
- CentOS下查看已经登录用户并踢出的方法
CentOS下查看已经登录用户并踢出的方法 Linux 是个多用户系统,一旦连接到网络中,它可以同时为多个登录用户提供服务. 系统管理员可以随时了解系统中有那些用户,用户都在进行什么操作. 查看用户的 ...
- Linux系统下如何查看已经登录用户
虽然前面介绍了用户管理,但是那部分主要是管理用户的帐号,也就静态的用户列表.而LINUX是个多用户系统,一旦连接到网络中,它可以同时为多个登录用户提供服务.系统管理员可以随时了解系统中有那些用户,用户 ...
- linux密码修改时间,linux 查看、修改用户及密码过期时间(示例代码)
WARNING: Your password has expired. Password change required but no TTY available. 提示密码过期, 设置新用户密码的过 ...
- 如何查看Oracle的用户权限
ORACLE数据字典视图的种类分别为:USER,ALL 和 DBA. USER_*:有关用户所拥有的对象信息,即用户自己创建的对象信息 ALL_*:有关用户可以访问的对象的信息,即用户自己创建 ...
- Linux系统环境查看已经登录用户信息及管理
Linux属于多用户系统,root账户可以去查看现在登录的用户信息及其操作: 1.查看某一时刻用户的行为 w ROOT@LOCALHOST ROOT] # W 2:31PM UP 11 DAY ,21 ...
最新文章
- PCL:超详细的基于法向量和曲率的区域生长算法原理以及源码解读
- 在网易,我是怎样做项目管理的?
- 苹果公司提出Mobile-ViT | 更小更轻精度更高,MobileNets或成为历史
- css画横线箭头_用CSS绘制三角形箭头
- Python单例设计模式
- linux指令笔试,Linux笔试常用命令
- 弹出显示多条的message对话框
- 2 Redis基本知识
- win10查看pcie设备_壹拓网科技解密WIN10系统使用向日葵开机棒远程开机需要设置几个地方...
- vue划入划出事件_基于vue中对鼠标划过事件的处理方式详解
- 阅读构建之法10、11、12章
- Spring 核心控制器DispatcherServlet(二)
- DTW算法(语音识别)
- 字长越长计算机的计算速度也越快,计算机字长越长运算速度越慢吗
- 教你一招,如何使用抓包工具轻松获取微信文章数据!
- html怎么设置火狐ie兼容模式,火狐浏览器兼容模式如何设置?火狐浏览器兼容模式设置方法分享...
- python3读取键盘输入_Python读取键盘输入
- 互联网+废品回收项目可行性分析报告
- Spring Boot 入门系列(二十三)整合Mybatis,实现多数据源配置!
- 惠普HP LaserJet M42523n 打印机驱动