今天就跟大家聊聊有關(guān)怎么獲取任意Instagram用戶的個人隱私信息，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

成都創(chuàng)新互聯(lián)公司專注于任縣企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站,商城開發(fā)。任縣網(wǎng)站建設(shè)公司,為任縣等地區(qū)提供建站服務(wù)。全流程定制設(shè)計，專業(yè)設(shè)計，全程項目跟蹤，成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

在該Writeup中，作者通過測試Facebook商務(wù)套件（Facebook Business Suite）應(yīng)用APP，發(fā)現(xiàn)可以從其中的頁面消息部份（page messaging section）泄露與Facebook綁定的Instagram用戶隱私信息，攻擊者利用該Bug漏洞可以獲取與其進(jìn)行Instagram交流的任意用戶的個人郵箱、出生年月等個人敏感信息。

Facebook商務(wù)套件（Facebook Business Suite）

Facebook商務(wù)套件（Facebook Business Suite）是Facebook推出的升級版商務(wù)應(yīng)用APP，F(xiàn)acebook商務(wù)應(yīng)用管理員可以通過 Facebook Business Suite 一站式管理 Facebook 和 Instagram 的所有綁定帳戶。Facebook Business Suite 提供了各種各樣的免費工具，可以幫助Facebook商務(wù)應(yīng)用管理員更加輕松地管理自己的品牌形象，可以借助 Business Suite 一站式管理品牌形象，同時還能觸達(dá)更多用戶，把握最新的動態(tài)資訊。普通用戶可以通過 business.facebook.com訪問Facebook商務(wù)套件主頁。

漏洞發(fā)現(xiàn)

首先，我可以通過我Facebook Page(臉書專頁)的PageName>Settings>Instagram，來綁定自己的Instagram賬戶，這樣我就能從Facebook商務(wù)套件中的Instagram收件箱來進(jìn)行Instagram交流。

當(dāng)我在其中回復(fù)一個朋友時，F(xiàn)acebook商務(wù)套件通話框右上角的信息引起了我的注意，其中竟然清楚地顯示了我朋友的email郵箱地址，之后，我詢問他是否把他自己的郵箱地址設(shè)置為隱私狀態(tài)，但他無法確定。我馬上又深入查詢了Instagram用戶的郵箱地址隱私策略。

通過查詢可知，Instagram官方主頁清楚地提到，用戶email郵箱地址屬于用戶隱私，其他用戶是不可見的，因此我確定這無疑應(yīng)該是個bug了。

另外，我又從Instagram APP應(yīng)用的Edit Profile>Personal Information Settings個人設(shè)置中看到，其中明確說明，用戶的email郵箱、手機號碼、性別和出生年月完全屬于個人隱私，不可對其他用戶可見。

因此，當(dāng)我以上述方式和朋友交流時，就可以從通話框中完全看到對方的email郵箱、手機號碼、性別和出生年月等個人隱私信息。之后，我又想如果對方用戶把這些信息設(shè)置為只是個人可見的隱私狀態(tài)，又會怎樣？我這種方式還能看到他的隱私信息嗎？

于是，我又馬上注冊了一個Instagram賬戶，把其中的個人信息設(shè)置為隱私狀態(tài)，然后在Facebook商務(wù)套件中，用我原始的Instagram賬號和該賬號進(jìn)行交流，BINGO，我仍然可以從通話框中完整地看到其個人信息。這讓我震驚到了。

也就是說，我可以通過這種Facebook商務(wù)套件中的Instagram通信，獲取到任意Instagram用戶的個人信息，即使是把個人信息設(shè)置為隱私狀態(tài)或是設(shè)置不接收私信的用戶，都不在話下，受此影響。然后，我立馬以POC視頻的方式向Facebook安全團隊進(jìn)行了上報。由于我的一個朋友是Facebook安全團隊工程師，我麻煩請他盡快跟進(jìn)該漏洞，果然，漏洞上報兩小時后，個人email郵箱泄露的問題就得到了修復(fù)。8個多小時后，F(xiàn)acebook安全團隊就郵件告知我，整個漏洞已經(jīng)得到修復(fù)，他們又邀請我再次進(jìn)行了復(fù)測。然而，復(fù)測之后我又發(fā)現(xiàn)了另外一個問題。

復(fù)測發(fā)現(xiàn)個人出生年月信息仍存在泄露

我再次測試后發(fā)現(xiàn)，還是在原來的對話框位置，仍然存在著對方用戶個人出生年月信息泄露的問題，告知Facebook后，他們有些不解，深入分析后我發(fā)現(xiàn)，原來是這樣的：如果用戶通過手工注冊了Instagram賬戶，那么這些類型的Instagram用戶就會存在這種出生年月信息泄露；如果用戶是通過Facebook登錄跳轉(zhuǎn)過來的，就不存在這種出生年月信息泄露。這好像又構(gòu)成了另外一種隱私泄露，即：

出生年月信息泄露 = 對方用戶是手工注冊的Instagram賬戶
出生年月信息未泄露 = 對方用戶是通過Facebook登錄跳轉(zhuǎn)過來的

看完上述內(nèi)容，你們對怎么獲取任意Instagram用戶的個人隱私信息有進(jìn)一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。