Instagram a violé la vie privée de ses utilisateurs en fidélisant les gens’ photos et messages privés privés sur ses serveurs même après que les gens les ont supprimés.
La vulnérabilité a été découverte par le chercheur Saugat Pokharel lorsqu'il a téléchargé ses données d'Instagram l'année dernière. C'est ainsi qu'il a découvert que les données comprenaient des photos et des messages qu'il avait précédemment supprimés. Le chercheur a obtenu une récompense de $6,000 pour avoir soulevé ce problème via le programme de primes aux bogues d'Instagram.
Dans une conversation avec TechCrunch, Pokharel a déclaré qu'Instagram n'avait pas supprimé ses données même lorsqu'il les avait supprimées de son côté. Une fois qu'il a réalisé ce problème, il l'a rapporté. C'était en Octobre 2019.
Explication de la vulnérabilité d'Instagram
Le bogue existait dans une fonctionnalité ajoutée par Instagram 2018 conformément au RGPD. La réglementation obligeait les entreprises opérant en Europe à informer les autorités 72 heures de toute violation de données, ou faire face aux sanctions financières. La fonctionnalité GDPR permettait aux gens de télécharger leurs données d'une manière similaire à ce que Facebook, la société mère, fourni à ses utilisateurs.
Ce n’est pas le premier cas d’Instagram qui ne respecte pas la suppression des données des utilisateurs. L'année dernière, un autre chercheur, Karan saini, a découvert que le service de partage de photos envoyait des messages directs pendant des années, même supprimé. Saini a également révélé qu'Instagram avait envoyé les données depuis et vers des comptes désactivés ou suspendus..
La bonne nouvelle est que le bug découvert par Pokharel ne semble pas avoir été exploité dans la nature.
L'année dernière, Le chercheur en sécurité Laxman Muthiyah a découvert une vulnérabilité critique qui aurait pu permettre à des attaquants distants de réinitialiser le mot de passe des comptes Instagram, obtenant ainsi un accès complet aux comptes compromis. La vulnérabilité réside dans le mécanisme de récupération de mot de passe dans la version mobile Instagram.
La vulnérabilité a été rapportée à Facebook mais il a fallu un certain temps pour l'équipe de sécurité de Facebook pour reproduire le problème que les informations contenues dans le rapport du chercheur ne suffisait pas. Cependant, la vidéo de preuve de concept les a convaincus que l'attaque était faisable.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: