在该Writeup中，作者通过测试Facebook商务套件（Facebook Business Suite）应用APP，发现可以从其中的页面消息部份（page messaging section）泄露与Facebook绑定的Instagram用户隐私信息，攻击者利用该Bug漏洞可以获取与其进行Instagram交流的任意用户的个人邮箱、出生年月等个人敏感信息。

Facebook商务套件（Facebook Business Suite）

Facebook商务套件（Facebook Business Suite）是Facebook推出的升级版商务应用APP，Facebook商务应用管理员可以通过 Facebook Business Suite 一站式管理 Facebook 和 Instagram 的所有绑定帐户。Facebook Business Suite 提供了各种各样的免费工具，可以帮助Facebook商务应用管理员更加轻松地管理自己的品牌形象，可以借助 Business Suite 一站式管理品牌形象，同时还能触达更多用户，把握最新的动态资讯。普通用户可以通过 business.facebook.com访问Facebook商务套件主页。

漏洞发现

首先，我可以通过我Facebook Page(脸书专页)的PageName>Settings>Instagram，来绑定自己的Instagram账户，这样我就能从Facebook商务套件中的Instagram收件箱来进行Instagram交流。

当我在其中回复一个朋友时，Facebook商务套件通话框右上角的信息引起了我的注意，其中竟然清楚地显示了我朋友的email邮箱地址，之后，我询问他是否把他自己的邮箱地址设置为隐私状态，但他无法确定。我马上又深入查询了Instagram用户的邮箱地址隐私策略。

通过查询可知，Instagram官方主页清楚地提到，用户email邮箱地址属于用户隐私，其他用户是不可见的，因此我确定这无疑应该是个bug了。

另外，我又从Instagram APP应用的Edit Profile>Personal Information Settings个人设置中看到，其中明确说明，用户的email邮箱、手机号码、性别和出生年月完全属于个人隐私，不可对其他用户可见。

因此，当我以上述方式和朋友交流时，就可以从通话框中完全看到对方的email邮箱、手机号码、性别和出生年月等个人隐私信息。之后，我又想如果对方用户把这些信息设置为只是个人可见的隐私状态，又会怎样？我这种方式还能看到他的隐私信息吗？

于是，我又马上注册了一个Instagram账户，把其中的个人信息设置为隐私状态，然后在Facebook商务套件中，用我原始的Instagram账号和该账号进行交流，BINGO，我仍然可以从通话框中完整地看到其个人信息。这让我震惊到了。

也就是说，我可以通过这种Facebook商务套件中的Instagram通信，获取到任意Instagram用户的个人信息，即使是把个人信息设置为隐私状态或是设置不接收私信的用户，都不在话下，受此影响。然后，我立马以POC视频的方式向Facebook安全团队进行了上报。由于我的一个朋友是Facebook安全团队工程师，我麻烦请他尽快跟进该漏洞，果然，漏洞上报两小时后，个人email邮箱泄露的问题就得到了修复。8个多小时后，Facebook安全团队就邮件告知我，整个漏洞已经得到修复，他们又邀请我再次进行了复测。然而，复测之后我又发现了另外一个问题。

复测发现个人出生年月信息仍存在泄露

我再次测试后发现，还是在原来的对话框位置，仍然存在着对方用户个人出生年月信息泄露的问题，告知Facebook后，他们有些不解，深入分析后我发现，原来是这样的：如果用户通过手工注册了Instagram账户，那么这些类型的Instagram用户就会存在这种出生年月信息泄露；如果用户是通过Facebook登录跳转过来的，就不存在这种出生年月信息泄露。这好像又构成了另外一种隐私泄露，即：

出生年月信息泄露=对方用户是手工注册的Instagram账户
出生年月信息未泄露=对方用户是通过Facebook登录跳转过来的

漏洞奖励

第二天该问题总算得到了修复。接下来，我知晓对于Facebook来说，只要涉及到用户隐私的漏洞一般都会是好洞，漏洞奖励也会相对较高。果不其然，经过了漫长的7个星期后，我收获了Facebook奖励的$13,125。

漏洞上报和处理进程

2020.10.22 ? 漏洞初报
2020.10.23 ? 漏洞分类
2020.10.23 ? 个人email邮箱泄露问题得到修复
2020.10.28 ? 个人出生年月信息泄露问题得到修复
2020.12.16 ? Facebook奖励了我$13,125

参考来源：medium?