Instagram har krænket privatlivets brug for sine brugere ved at beholde folk’ fotos og private direkte beskeder på dets servere, selv efter at folk har slettet dem.
Sårbarheden blev opdaget af forskeren Saugat Pokharel, da han downloadede sine data fra Instagram sidste år. Sådan opdagede han, at dataene indeholdt fotos og beskeder, han tidligere havde fjernet. Forskeren fik en belønning af $6,000 for at bringe dette emne op gennem Instagrams bugbounty-program.
I en samtale med TechCrunch, Pokharel sagde, at Instagram ikke slette hans data, selv når han slettede dem fra sin ende. Engang indså han dette problem, han rapporterede det. Dette var i oktober 2019.
Sårbarhed på Instagram forklaret
Fejlen eksisterede i en funktion, som Instagram tilføjede tilbage i 2018 i overensstemmelse med GDPR. Forordningerne krævede, at virksomheder, der opererer i Europa, skal underrette myndighederne inden for 72 timer med dataovertrædelse, eller står over for de økonomiske sanktioner. GDPR-funktionen gjorde det muligt for folk at downloade deres data på en måde, der ligner Facebook, moderselskabet, leveres til sine brugere.
Dette er ikke det første tilfælde, hvor Instagram ikke overholder folks data, der bliver slettet. Sidste år, anden forsker, Karan saini, opdagede, at fotodelingstjenesten jippede direkte beskeder i årevis, selv når de er slettet. Saini afslørede også, at Instagram sendte dataene til og fra konti, der blev deaktiveret eller suspenderet.
Den gode nyhed er, at bug, der opdages af Pokharel, ikke ser ud til at være blevet udnyttet i naturen.
Sidste år, sikkerhedsforsker Laxman Muthiyah opdagede en kritisk sårbarhed der kunne have gjort det muligt for eksterne angribere at nulstille adgangskoden til Instagram-konti, således at der opnås fuld adgang til de kompromitterede konti. Sårbarheden boet i password opsving mekanisme i den mobile version af Instagram.
Sårbarheden blev rapporteret til Facebook, men det tog noget tid for Facebooks sikkerhedsteam at genskabe problemet, da oplysningerne i forskerens rapport var ikke nok. Men, proof-of-concept-videoen overbeviste dem om, at han angreb var gennemførlig.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: