脸书今年秋天提供给小型企业管理账号的工具Facebook Business Suite,被研究人员发现存在漏洞,可能让第三方人士读取到IG用户的电子邮件,不过脸书在接获通报后数小时内将之修补。
尼泊尔研究人员Saugat Pokharel今年10月,于脸书的Facebook Business Suite中发现该漏洞。这项服务是脸书9月才宣布,是一个横跨Facebook Messenger及Instagram(IG)的接口,旨在让小型企业更有效管理以脸书平台上的线上门店或渠道。它方便小型企业雇主同时贴文到脸书及IG上,并且在单一接口上管理和接收Messenger、IG、WhatsApp消息、通知和提醒,也可以读取Facebook及IG的活动分析,像是点赞数、脸书粉丝页到达率、IG关注人数、以及用户性别、年龄组成比例等等。
Pokharel今年10月将他个人IG账号连接脸书的粉丝专页,按照脸书的设计,就可以经由Business Suite来回复IG邮件。当他以此回复一位IG友人的邮件时,发现可在Business Suite接口右上方看到友人的电子邮件信箱,但其实该友人已经通过隐私设置将电子邮件信箱隐藏不公开。
利用这项漏洞,有心人将其Facebook Business Suite和IG账号连接,再从Business Suite发消息、私信给任何人,都可以看到对方的注册的电子邮件,即使对方设置不接收非友人的私信,过程根本无需任何黑客行为。
脸书显然不敢忽视。在接获研究人员通报后不到2个小时,脸书就修补好这个漏洞。Pokharel也因此获得脸书约1.3万美元的漏洞挖掘奖金。
今年9月安全研究人员也发现Instagram有严重漏洞,黑客发送恶意图片给被害者,就能够黑入并绑架其IG账号并访问资料。