一个简单的错误暴露了Facebook页面的管理员

然而，在某些情况下，你可能想联系Facebook页面管理员，或者想知道谁是Facebook页面的所有者。
埃及安全研究人员穆罕默德·A·巴塞特（Mohamed A.Baset）在Facebook上发现了一个严重的信息泄露漏洞，任何人都可以通过该漏洞泄露Facebook页面管理员的个人资料，否则这些资料本不应该是公开信息。

Baset声称在不到3分钟的时间内发现了该漏洞，没有任何类型的测试或概念验证，也没有任何其他类型的耗时过程。

在一篇博文中，Baset说，他在收到一个邀请，让他喜欢他之前喜欢的某个Facebook页面后，发现了这个漏洞，他称之为“逻辑错误”。

Facebook为页面管理员引入了一项功能，他们可以向用户发送Facebook邀请，询问他们是否希望在喜欢帖子后喜欢自己的页面，几天后，这些互动用户可能会收到一封电子邮件，提醒他们该邀请。
在Baset收到一封这样的电子邮件邀请后，他只需打开电子邮件中的“show original”下拉菜单选项。查看电子邮件的源代码，他注意到其中包括页面管理员的姓名、管理员ID和其他详细信息。

研究人员随后立即通过其Bugcrowd bug悬赏计划向Facebook安全团队报告了该问题。该公司承认了这一缺陷，并为他的发现奖励了Baset 2500美元。

尽管Facebook已经解决了这一信息披露问题，但已经收到过此类页面邀请的人仍然可以从邀请电子邮件中找到管理员详细信息。

Facebook说：“我们能够验证，在某些情况下，发送给非好友的页面邀请会无意中泄露发送它们的页面管理员的姓名”。“我们已经在这里解决了根本原因，未来的电子邮件将不包含这些信息”。

Facebook现在已经解决了这一信息披露问题。