当具有个人信息的组织机构发作数据失窃或遭受未授权拜访行为时，就或许发作用户信息走漏事情。一般来说，这是种安全事情会导致一些敏感触维护的秘要数据被广泛撒播、剖析或歹意运用。本文共享的缝隙writeup，只需知道Facebook用户的注册邮箱或许手机号码，就能直接获取该用户相关的隐私老友列表，从而推断出用户的一个大致的交际联络图谱。缝隙终究取得了Facebook官方$10,000美金的奖赏。
依照Facebook协助页面的阐明来看，“你或许知道的人”（People You May Know）这项功用能够协助Facebook用户找到更多相识的朋友，该功用树立起你和对方之间的联络是根据以下因从来进行判别的：
1.你们之间有一起朋友或存在彼此朋友联络，这也是树立这种或许知道联络的最根本原因；
2.你们在同一个Facebook群组中，或是在同一张相片中被标记过；
3.别的便是你们经过同一个 *** 出口（校园、单位）登录过Facebook账户。
Facebook老友列表的隐私设置
默许来说，Facebook用户的老友列表是揭露的，当然，Facebook也给这个老友列表设置了三种不同的隐私选项：揭露、朋友可见和仅自己可见等自定义设置），详细参阅Facebook协助页面阐明。
缝隙发现
这儿作者发现的缝隙是这样的：首要，在用户注册阶段，歹意攻击者能够经过先输入方针受害者的手机号码作为注册承认的手机号码，如下：

之后，Facebook会向这个手机号码发送一个短信验证码，并且要求在承认界面输入这个验证码，如下：

当然了，歹意攻击者肯定是不知道方针受害者的短信内容了，更别提这个短信验证码了。所以，在这儿攻击者能够点击界面中呈现的“更新联络 *** ”（Update Contact info）按钮，在跳出的新手机号码或新邮箱地址增加栏中，填写攻击者自己的邮箱地址hack@rajsek.com，如下：

接下来，攻击者自己的邮箱hack@rajsek.com中会收到一封Facebook发来的验证码邮件，在之前的承认界面中填写这个验证码，挑选“持续”（Continue）。然后，Facebook会提示该账户与hack@rajsek.com是绑定联络，且需攻击者以邮箱hack@rajsek.com作为登录凭证完结登录：

现在，咱们转到以下链接去：
https://www.facebook.com/friends/requests/?fcref=swpsa
这个链接是“你或许知道的人”URL，或许直接用curl对以下链接恳求进行抓包：
curl ‘https://www.facebook.com/gettingstarted/?step=friend_requests' -H ‘authority: www.facebook.com' -H ‘referer: https://www.facebook.com/gettingstarted/' -H ‘cookie: xxxx’ — compressed
这儿，Facebook向歹意攻击者推送的“你或许知道的人”相关列表，正是方针受害者的老友列表，如下：

整个进程可在以下PoC视频中观看，视频中作者用方针受害者邮箱为注册人信息，用自己的手机号码作为联络更新信息，终究，这种 *** 也能相同取得方针受害者老友列表：
缝隙总结
该缝隙能够被一些歹意用户或攻击者运用，直接判别出方针受害者的交际联络图谱。条件在于，只需要知道方针受害者的注册Facebook时运用的邮箱地址或许手机号码，能够经过社工 *** 或是前述说到的老友联络树立根据来取得。