我能查看Instagram 所有用户的私人邮件和生日信息

10月22日，正当我查看一些安全/隐私问题时，发现 Facebook 公司新推出一款新的 app，名叫 Facebook Business Suite。

Business Suite 是页面管理器 app （用于管理 Facebook Pages 的app） 的升级版本。在 Business Suite 中，业务管理员可以将 Facebook 页面和 Instagram 账户进行链接，之后管理员能够创建或调度帖子，查看分析、信息或通过一个应用就可以在 Instagram 和 Facebook 上回复评论（Business Suite 的访问地址：business.facebook.com）。

我通过 PageName > Settings > Instagram 将自己的个人 Instagram 账户和 Facebook Page 连接起来。之后我就可以通过 Business Suite 回复 Instagram 的收件箱了。

当我回复一个朋友的邮件时，右上角的 Business Suite 引起了我的注意。那是朋友给我发的邮件，我问了朋友是否将邮件的隐私设置为公开。她无法确认自己的选项，于是我快速搜索了关于 Instagram 的邮件隐私设置。

Instagram 的官方页面清楚地提到，邮件地址对他人不可见，于是我有99%的把握认为这是一个 bug。

同时，我进入 Instagram app > Edit Profile > Personal Information Settings。即使这里也提到了邮件、电话号码、性别和出生日期对他人不可见。可以肯定，这确实是个bug!

当我打开和另外一个朋友的对话窗口时，我也可以看到他的邮件地址。我想尝试是否可以提取到非公开用户的邮件地址。于是，我创建了一个测试账户并将隐私性设置为“非公开”。接着从自己的 Instagram 账户对这个测试账户写了一条信息。结果这条信息出现在了 Business Suite 中。确认无疑，我也可以查看非公开用户的邮件地址。

接着我又创建了一个账户并将设置修改为：仅关注的用户可以向我发送信息。开始向这个用户写信息后如我所料，信息并未发送但在 Business Suite 中打开了一个聊天窗口，且账户的邮件地址也被公开。我震惊了。

于是，我意识到，只要向任意用户写信息，就能够暴露他们的邮件地址。即使将账户设置为“非公开“且将账户设置为不接收来自外部的直接消息，也受该攻击影响。事不宜迟，我马上向 Facebook 写了一份漏洞报告，并附上详细说明和视频 PoC。

我在一个工作组，可以和 Facebook 公司的安全工程师直接交流，于是我通知这名工程师查看我的报告，以免落入不太好的家伙手中。接着问题被诊断并在不到2小时的时间里修复。于是，个人邮件暴露问题得到解决。

注意到补丁的8到9小时后，我收到安全团队的信息称漏洞已修复，并请我查看问题是否已修复。结果，我又发现了一个问题：

我查看修复方案时，发现同样的地方还会泄露任意 Instagram 用户的出生日期。我又震惊了。之后我回复称出生日期也可遭泄露。Facebook 公司的工程师表示他们已经从我提交的漏洞报告中发现了出生日期的问题，目前正在修复。

第二天，出生日期的问题也得到修复。但在调查过程中我发现，仅有手动注册了 Instagram 的用户才会泄露出生日期的信息。于是，借此我可以拦截不管是否通过 Login with Facebook 方法创建 Instagram 账户的用户。我认为这又是一个隐私问题：

If birthday disclosed = Manually signed up

If birthday not disclosed = Logged in with Facebook

我迫不及待地想知道会有多少奖金了。不过我已经知道因为这个问题对用户隐私而言是个非常严重的问题，因此奖金应该不少。经过7周的耐心等待后，Facebook 公司发出了5位数的奖金。我的激动心情溢于言表，因为这是我至今收到的最大一笔奖金！

• 2020年10月22日，下午6:59：发送首份报告

• 2020年10月23日：漏洞诊断

• 2020年10月23日：邮件暴露问题修复

• 2020年10月28日：出生日期暴露问题修复

• 2020年12月16日：收到奖金13125美元