我能查看Instagram 所有用户的私人邮件和生日信息

最新推荐文章于 2024-07-12 16:47:16 发布
最新推荐文章于 2024-07-12 16:47:16 发布
阅读量3.5k 收藏
点赞数
文章标签: sms hashtable ai 区块链 informix
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

尼泊尔研究员 Saugat Pokharel 公开了自己近期发现的一个 Instagram 漏洞的详情。如下是正文:


10月22日,正当我查看一些安全/隐私问题时,发现 Facebook 公司新推出一款新的 app,名叫 Facebook Business Suite。

什么是 Business Suite?

Business Suite 是页面管理器 app (用于管理 Facebook Pages 的app) 的升级版本。在 Business Suite 中,业务管理员可以将 Facebook 页面和 Instagram 账户进行链接,之后管理员能够创建或调度帖子,查看分析、信息或通过一个应用就可以在 Instagram 和 Facebook 上回复评论(Business Suite 的访问地址:business.facebook.com)。

我通过 PageName > Settings > Instagram 将自己的个人 Instagram 账户和 Facebook Page 连接起来。之后我就可以通过 Business Suite 回复 Instagram 的收件箱了。

当我回复一个朋友的邮件时,右上角的 Business Suite 引起了我的注意。那是朋友给我发的邮件,我问了朋友是否将邮件的隐私设置为公开。她无法确认自己的选项,于是我快速搜索了关于 Instagram 的邮件隐私设置。

Instagram 的官方页面清楚地提到,邮件地址对他人不可见,于是我有99%的把握认为这是一个 bug。

同时,我进入 Instagram app > Edit Profile > Personal Information Settings。即使这里也提到了邮件、电话号码、性别和出生日期对他人不可见。可以肯定,这确实是个bug!

当我打开和另外一个朋友的对话窗口时,我也可以看到他的邮件地址。我想尝试是否可以提取到非公开用户的邮件地址。于是,我创建了一个测试账户并将隐私性设置为“非公开”。接着从自己的 Instagram 账户对这个测试账户写了一条信息。结果这条信息出现在了 Business Suite 中。确认无疑,我也可以查看非公开用户的邮件地址。

接着我又创建了一个账户并将设置修改为:仅关注的用户可以向我发送信息。开始向这个用户写信息后如我所料,信息并未发送但在 Business Suite 中打开了一个聊天窗口,且账户的邮件地址也被公开。我震惊了。

于是,我意识到,只要向任意用户写信息,就能够暴露他们的邮件地址。即使将账户设置为“非公开“且将账户设置为不接收来自外部的直接消息,也受该攻击影响。事不宜迟,我马上向 Facebook 写了一份漏洞报告,并附上详细说明和视频 PoC。

我在一个工作组,可以和 Facebook 公司的安全工程师直接交流,于是我通知这名工程师查看我的报告,以免落入不太好的家伙手中。接着问题被诊断并在不到2小时的时间里修复。于是,个人邮件暴露问题得到解决。

注意到补丁的8到9小时后,我收到安全团队的信息称漏洞已修复,并请我查看问题是否已修复。结果,我又发现了一个问题:

任意用户的出生日期被暴露

我查看修复方案时,发现同样的地方还会泄露任意 Instagram 用户的出生日期。我又震惊了。之后我回复称出生日期也可遭泄露。Facebook 公司的工程师表示他们已经从我提交的漏洞报告中发现了出生日期的问题,目前正在修复。

第二天,出生日期的问题也得到修复。但在调查过程中我发现,仅有手动注册了 Instagram 的用户才会泄露出生日期的信息。于是,借此我可以拦截不管是否通过 Login with Facebook 方法创建 Instagram 账户的用户。我认为这又是一个隐私问题:

If birthday disclosed = Manually signed up

If birthday not disclosed = Logged in with Facebook

我迫不及待地想知道会有多少奖金了。不过我已经知道因为这个问题对用户隐私而言是个非常严重的问题,因此奖金应该不少。经过7周的耐心等待后,Facebook 公司发出了5位数的奖金。我的激动心情溢于言表,因为这是我至今收到的最大一笔奖金!

时间线

  • 2020年10月22日,下午6:59:发送首份报告

  • 2020年10月23日:漏洞诊断

  • 2020年10月23日:邮件暴露问题修复

  • 2020年10月28日:出生日期暴露问题修复

  • 2020年12月16日:收到奖金13125美元

推荐阅读

看我如何黑掉 Facebook 并获奖金 $7500

Facebook 公开 APT32 身份,疑为越南本地一家 IT 公司

我发现Facebook Messenger漏洞可使安卓用户互相监听,获奖6万美元

Hacker Plus:Facebook 推出漏洞奖励 “忠诚计划”

原文链接

https://medium.com/nassec-cybersecurity-writeups/this-is-how-i-was-able-to-view-anyones-private-email-and-birthday-on-instagram-1469f44b842b

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
instastory-monitor-telegram:监视instagram帐户的故事并在每次更新时发送给电报
03-03
卫星电视 监控故事您的目标instagram帐户并在每次更新时发送电报。 具有技术规格的正确的Readme.md即将更新
搜索Instagram用户名API
rosefun96的博客
12-02 2130
1. 细节 主要是python算法部分,以及flask用于网页端。 待完善:PHP适配客户端 2. 实践 经过调试,API已经开发 示例: 搜索结果页面展示: 然后输入instagram.com/{username}即可到达Instagram用户名的主页: 开发链接: 根据明星姓名搜索Instagram用户名 3. 完善 有什么意见的欢迎私信和评论!(最近比较忙,不会进行开发完善) ...
好友生日邮箱提醒
binganxueying的博客
05-30 1874
本文实现了在好友生日前自动发送提醒邮件的功能。    android.util.Patterns自带的正则表达式实现邮箱验证。Calender获取日历。DatePickerDialog实现选择日期。AlarmManager定时器实现系统后台提醒功能。Java mail系统自动发送邮件,使用Java mail发送文件需要网络权限。邮件生日用SharedPreference保存。所有代码如下。git...
Instagram新功能Photo Maps”帮”用户”偷窥”他人隐私
轻轻草原
08-20 303
Instagram本周放出了其3.0的新版本,用户可以把所有的照片贴到一幅世界地图上(Photo Maps),在该服务中创建了一种全新的浏览照片的方式。然而就是这个新功能Photo Maps,在发布不到一天的时间里就已经被细心的用户揪出了一个大BUG,具体是怎么一回事呢?一起来看看: 尽管Instagram的Photo Maps非常强大,用户体验也很不错,但是也存在一些隐私泄露问题。...
instagram akp_如何查看您从未与之互动的Instagram帐户
cuma1988的博客
10-08 931
instagram akpJustin Duino贾斯汀·杜伊诺(Justin Duino)If you aren’t careful, you can very quickly follow hundreds of accounts on Instagram. To make it easier for you to find accounts to unfollow, the social n...
instagram用户信息 照片 视频动态 Java爬虫.zip
03-08
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的...
instagram-user-id:获取instagram中任何用户用户ID
05-22
instagram用户ID 获取instagram中任何用户用户ID用法 python main.py $USERNAME要求 pip install -r requirements.txtsudo apt-get install nodejs npmcd web-version && npm install && nodejs server.js示例-...
Twitter 和Instagram用户数据
05-02
综上所述,Twitter和Instagram用户数据是社会网络分析的重要资源,它们可以为我们揭示用户行为、情感动态、社交关系等方面的信息,帮助我们更好地理解和利用这些社交媒体平台的影响力。无论是学术研究还是商业应用...
Instagram 首页 用户页UI redesign .xd素材下载
04-20
Instagram 首页 用户页UI redesign .xd素材下载
【最新版】4kstogram_3.0.1.dmg【亲测可用】最好的下载 Instagram 照片、账户、标签和位置
05-10
4K Stogram 是一个适用于PC、macOS 和 Linux系统的Instagram 浏览器和下载器。从您好友的公共和私人Instagram账户中下载照片、视频和故事,备份您的Instagram资料,导入您的Instagram订阅列表。 只需输入 Instagram 用户名、标签或位置,按下‘订阅’按钮。从不同地方浏览、下载 Instagram 照片、视频和限时动态,订阅任意账户的照片以及他们的关注列表。 按用户名、标签或位置下载 Instagram 帖子 订阅您最喜欢的摄影师、标签或地点,自动获取最新的照片。 下载私人好友的照片 用您的Instagram账号登录,下载私人好友账户的照片。 浏览您好友的Instagram内容 订阅任何Instagram用户的关注账户列表,实时观看他们上传的新照片。 下载 Instagram stories 永久保存任何Instagram账户中临时的日常图片和视频。 下载视频帖子 利用这个便利的功能, 从Instagram账户、标签和地点中抓取MP4格式的视频。 瞬间 备份您的账户 只需点击一下,就可从您的Instagram账户中下载所有照片。 点击一下即可关注您的订阅 点击 ‘Subscribe to Accounts I’m Following(订阅我关注的账户)’ ,您在Instagram上关注的所有账户将自动添加至4K Stogram并进行下载。 评论和标签元数据 所有下载的图片均在其元数据中包含评论和标签等信息。 导出和导入订阅 确保您的订阅数据库安全:导出数据,计算机重装后再导入,确保不会丢失任何图片和账户。
instragram_find_user:该网站允许您搜索Instagram用户,并查看用户的个人资料,这是一个开放源代码-Search website source code
03-25
instragram_find_user 如何使用? 在文本框中输入您的Instagram用户名。 例如:sakibhasan。 按Enter或单击搜索按钮按钮。 您的Instagram用户ID,个人资料图片和姓名将显示在绿色框中。 这是什么 ? 这称为“查找Instagram用户ID”,为开发人员和设计人员提供了一种简便的方法,可通过用户名获取Instagram帐户数字ID。 链接: : 预览
instagram-api:Instagram私人API
05-01
Instagram私人API Instagram私有API库 安装 您可以使用composer安装它 composer require nicklasw/instagram-api 特征 支持异步和并行请求 可以根据新请求轻松扩展 会话和设备管理 访问发现提要(频道,探索,热门...
如何查看Instagram拥有的所有数据
culiuman3228的博客
09-16 4869
Instagram isthe place to share your photos, and just like most social networks, it keeps tabs on some weird and wonderful things. Have you ever wondered what kinds of things it tracks? Here’s how to ...
Instagram密友名单与私密账户的区别
zhoujl1688的博客
12-17 1万+
Instagram是国外非常流行的一款拍照软件,月活有5亿用户,每天有9500万张照片在ins上被分享,它是一个公开的社交软件,也是一个人人都可以分享的软件!当你把照片发上去的时候,人人都是可以查看到的,但有一些照片你只想给你想要的人看或是只给关注了你的人看,那么你就需要设置密友名单或是私密账户了 他们两者的区别在于以下 密友名单的前身是叫特别关注好友,是在18年12月份新出的,但是后面又更新了,现在的名字叫密友!密友的功能就是类似朋友圈里面只给谁看的这个功能,分享Stories的時候,可以限制Story.
SAP推出Business Suite 7 剑指SaaS
胡争辉
02-09 1249
   目前,ERP领域主要的厂商都在采取一定的措施进军SaaS领域,BusinessSuite7也被看作是SAP向SaaS转移迈出的重要一步。  BusinessSuite7是对SAP整个产品线的一个巨大更新。它包括一个增强的包策略以减轻客户在软件升级遇到的困难,并让用户有选择的安装新的关键应用模块。  虽然为了达到提供更多网络服务的目的,BusinessSuite7基于面向服务的机构
insgram 网页分享_instagram网页版登陆使用图文教程
热门推荐
weixin_32204175的博客
12-24 2万+
instagram是一款可以在iOS和安卓上运行的手机应用,通过instagram您可以分享有趣的照片,将照片分享给您的好友,如今instagram网页版耀世来袭,同样给您精彩纷呈的绝美体验。本文将为大家介绍instagram网页版登陆使用方法,希望对大家有所帮助!方法/步骤1、在本经验页面中的【注意事项】中打开“instagram网页版”网址,如图所示。在instagram页面中,点击“登录”按...
【提交ACM出版 | EI&Scopus检索稳定 | 高录用】第五届大数据与社会科学国际学术会议(ICBDSS 2024,8月16-18)
ai_1020的博客
07-12 1183
【提交ACM出版 | EI&Scopus检索稳定 | 高录用】第五届大数据与社会科学国际学术会议(ICBDSS 2024,8月16-18)大数据、社会科学、数字经济、区块链、人工智能相关主题方向均可投稿
交易平台Zero Hash现已支持SUI交易
最新发布
Sui_Network的博客
07-12 261
Zero Hash将SUI添加到其超过65种tokens的列表中,使其客户可以访问SUI。
用户从 4 亿到 10 亿:Instagram 的「相邻用户」增长方法论 .doc
03-10
用户从 4 亿到 10 亿:Instagram 的「相邻用户」增长方法论 .doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值