这个Facebook错误暴露了Instagram用户的个人电子邮件ID

在注册Instagram帐户时，照片和视频共享平台保证您的电子邮件ID和生日不会对其他人可见或公开。但是，安全研究员Saugat Pokharel发现的一个漏洞使该平台易受攻击，并使攻击者可以轻松获取该私人信息。

该漏洞在被举报后已由Facebook进行了修补，但该漏洞已被允许访问Instagram正在测试的实验功能的企业帐户加以利用。

在这种情况下，攻击使用了Facebook的Business Suite工具，该功能可用于任何Facebook商业帐户。正如The Verge解释的那样，实验性升级意味着如果将Facebook企业帐户链接到Instagram并包含在测试组中，则Business Suite工具将在任何直接消息的旁边显示有关人员的其他信息。这些附加信息包括以前的私人电子邮件地址和生日详细信息。为此，企业用户所要做的就是在Instagram上向用户发送直接消息。

安全研究员Pokharel发现，该攻击对设置为私人帐户和不接受来自公众的DM的帐户起作用。如果一个帐户没有打开其DM，则用户也不会收到任何通知，表明可能已查看其个人资料。

这不是Pokharel在Instagram上发现并报告的第一个错误。早在八月，他发现Instagram实际上并没有删除已删除的帖子。

一位Facebook发言人告诉The Verge，这个新的漏洞在十月份开始实验时仅在很短的时间内就可以访问。Facebook并未提及已经为多少用户提供了该实验功能的访问权限，但他们表示这是一个“小测试”。Facebook补充说，他们还没有发现任何滥用的迹象。

这是Facebook的完整声明：

一位研究人员报告了一个问题，如果某人参与了我们在十月份针对企业帐户进行的一次小型测试，则可能泄露了他们正在通讯的人的个人信息。这个问题很快得到解决，我们没有发现滥用的迹象。通过我们的Bug赏金计划，我们奖励了这位研究人员向我们报告此问题的帮助。

根据Pokharel的说法，Facebook工程师在接到通知后的几个小时内解决了该问题。