怎么獲取任意Instagram用戶的個人隱私信息

今天就跟大家聊聊有關怎么獲取任意Instagram用戶的個人隱私信息，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

在該Writeup中，作者通過測試Facebook商務套件（Facebook Business Suite）應用APP，發現可以從其中的頁面消息部份（page messaging section）泄露與Facebook綁定的Instagram用戶隱私信息，攻擊者利用該Bug漏洞可以獲取與其進行Instagram交流的任意用戶的個人郵箱、出生年月等個人敏感信息。

Facebook商務套件（Facebook Business Suite）

Facebook商務套件（Facebook Business Suite）是Facebook推出的升級版商務應用APP，Facebook商務應用管理員可以通過 Facebook Business Suite 一站式管理 Facebook 和 Instagram 的所有綁定帳戶。Facebook Business Suite 提供了各種各樣的免費工具，可以幫助Facebook商務應用管理員更加輕松地管理自己的品牌形象，可以借助 Business Suite 一站式管理品牌形象，同時還能觸達更多用戶，把握最新的動態資訊。普通用戶可以通過 business.facebook.com訪問Facebook商務套件主頁。

漏洞發現

首先，我可以通過我Facebook Page(臉書專頁)的PageName>Settings>Instagram，來綁定自己的Instagram賬戶，這樣我就能從Facebook商務套件中的Instagram收件箱來進行Instagram交流。

當我在其中回復一個朋友時，Facebook商務套件通話框右上角的信息引起了我的注意，其中竟然清楚地顯示了我朋友的email郵箱地址，之后，我詢問他是否把他自己的郵箱地址設置為隱私狀態，但他無法確定。我馬上又深入查詢了Instagram用戶的郵箱地址隱私策略。

通過查詢可知，Instagram官方主頁清楚地提到，用戶email郵箱地址屬于用戶隱私，其他用戶是不可見的，因此我確定這無疑應該是個bug了。

另外，我又從Instagram APP應用的Edit Profile>Personal Information Settings個人設置中看到，其中明確說明，用戶的email郵箱、手機號碼、性別和出生年月完全屬于個人隱私，不可對其他用戶可見。

因此，當我以上述方式和朋友交流時，就可以從通話框中完全看到對方的email郵箱、手機號碼、性別和出生年月等個人隱私信息。之后，我又想如果對方用戶把這些信息設置為只是個人可見的隱私狀態，又會怎樣？我這種方式還能看到他的隱私信息嗎？

于是，我又馬上注冊了一個Instagram賬戶，把其中的個人信息設置為隱私狀態，然后在Facebook商務套件中，用我原始的Instagram賬號和該賬號進行交流，BINGO，我仍然可以從通話框中完整地看到其個人信息。這讓我震驚到了。

也就是說，我可以通過這種Facebook商務套件中的Instagram通信，獲取到任意Instagram用戶的個人信息，即使是把個人信息設置為隱私狀態或是設置不接收私信的用戶，都不在話下，受此影響。然后，我立馬以POC視頻的方式向Facebook安全團隊進行了上報。由于我的一個朋友是Facebook安全團隊工程師，我麻煩請他盡快跟進該漏洞，果然，漏洞上報兩小時后，個人email郵箱泄露的問題就得到了修復。8個多小時后，Facebook安全團隊就郵件告知我，整個漏洞已經得到修復，他們又邀請我再次進行了復測。然而，復測之后我又發現了另外一個問題。

復測發現個人出生年月信息仍存在泄露

我再次測試后發現，還是在原來的對話框位置，仍然存在著對方用戶個人出生年月信息泄露的問題，告知Facebook后，他們有些不解，深入分析后我發現，原來是這樣的：如果用戶通過手工注冊了Instagram賬戶，那么這些類型的Instagram用戶就會存在這種出生年月信息泄露；如果用戶是通過Facebook登錄跳轉過來的，就不存在這種出生年月信息泄露。這好像又構成了另外一種隱私泄露，即：

出生年月信息泄露 = 對方用戶是手工注冊的Instagram賬戶
出生年月信息未泄露 = 對方用戶是通過Facebook登錄跳轉過來的

看完上述內容，你們對怎么獲取任意Instagram用戶的個人隱私信息有進一步的了解嗎？如果還想了解更多知識或者相關內容，請關注億速云行業資訊頻道，感謝大家的支持。