"url":"https://www.facebook.com/groups/2082572965383830/",
"id":"2082572965383830"
},
"invited_by":null
}
}
从中可以看到”invited_by”:null,也就是说,用户B还未正式被私密群组D批准成为正式成员。但如果用户B是私密群组D的正式成员后,我们收到的响应会包含以下字段:
"invited_by":
{
id: MEMBER_ID,
name: Member_Name
}
invited_by字段代表了群组内其它成员对用户B的邀请入群动作,如果用户B退群,这个invited_by会被再次置空,也就是说,我们可以通过这个点来判断私密群组内的具体成员信息。
漏洞影响是,非群组成员可查看任意私密群组成员信息,最终,Facebook把响应信息中的invited_by字段进行了删除,以此修复了漏洞。
漏洞上报处置进程13/08/2019: 漏洞初报
14/08/2019: Facebook确认
15/08/2019: Facebook调查
16/08/2019: Facebook修复
20/08/2019: 确认Facebook修复完成
01/10/2019: 获得Facebook$3000赏金