发现任意Facebook非公开私密群组成员信息(2)

      "url":"https://www.facebook.com/groups/2082572965383830/",

      "id":"2082572965383830"

   },

   "invited_by":null

}

}

从中可以看到”invited_by”:null，也就是说，用户B还未正式被私密群组D批准成为正式成员。但如果用户B是私密群组D的正式成员后，我们收到的响应会包含以下字段：

"invited_by":

  {

    id: MEMBER_ID,

    name: Member_Name

  }

invited_by字段代表了群组内其它成员对用户B的邀请入群动作，如果用户B退群，这个invited_by会被再次置空，也就是说，我们可以通过这个点来判断私密群组内的具体成员信息。

漏洞影响是，非群组成员可查看任意私密群组成员信息，最终，Facebook把响应信息中的invited_by字段进行了删除，以此修复了漏洞。

13/08/2019: 漏洞初报

14/08/2019: Facebook确认

15/08/2019: Facebook调查

16/08/2019: Facebook修复

20/08/2019: 确认Facebook修复完成

01/10/2019: 获得Facebook$3000赏金