脸书小企业管理工具可能曝露IG用户的电邮

脸书今年秋天提供给小型企业管理账号的工具Facebook Business Suite，被研究人员发现存在漏洞，可能让第三方人士读取到IG用户的电子邮件及账号等个资，不过脸书在接获通报后数小时内将之修补。

尼泊尔研究人员Saugat Pokharel今年10月，于脸书的Facebook Business Suite中发现该漏洞。这项服务是脸书9月才宣布，是一个横跨Facebook Messenger及Instagram（IG）的界面，旨在让小型企业更有效管理以脸书平台上的线上门市或通路。它方便小型企业雇主同时贴文到脸书及IG上，并且在单一界面上管理和接收Messenger、IG、WhatsApp讯息、通知和提醒，也可以读取Facebook及IG的活动分析，像是按赞数、脸书粉丝页到达率、IG关注人数、以及使用者性别、年龄组成比例等等。

Pokharel今年10月将他个人IG账号连结脸书的粉丝专页，按照脸书的设计，就可以经由Business Suite来回复IG邮件。当他以此回复一位IG友人的邮件时，发现可在Business Suite界面右上方看到友人的电子邮件信箱，但其实该友人已经透过隐私设定将电子邮件信箱隐藏不公开。

利用这项漏洞，有心人士将其Facebook Business Suite和IG账号连结，再从Business Suite发讯息、私讯给任何人，都可以看到对方的注册的电子邮件，即使对方设定不接收非友人的私讯，过程根本无需任何骇客行为。

脸书显然不敢轻忽。在接获研究人员通报后不到2个小时，脸书就修补好这个漏洞。Pokharel也因此获得脸书约1.3万美元的抓漏奖金。

今年9月资安研究人员也发现Instagram有严重漏洞，骇客传送恶意图片给被害者，就能够骇入并绑架其IG账号并存取资料。