Instagram ha violato la privacy dei suoi utenti trattenendo le persone’ foto e messaggi diretti privati sui suoi server anche dopo che le persone li hanno eliminati.
La vulnerabilità è stata scoperta dal ricercatore Saugat Pokharel quando ha scaricato i suoi dati da Instagram l'anno scorso. È così che ha scoperto che i dati includevano foto e messaggi che aveva precedentemente rimosso. Il ricercatore ha ricevuto una ricompensa di $6,000 per aver sollevato questo problema tramite il programma bug bounty di Instagram.
In una conversazione con TechCrunch, Pokharel ha detto che Instagram non ha cancellato i suoi dati anche quando li ha cancellati dalla sua parte. Una volta capito questo problema, lo ha riferito. Questo è stato nel mese di ottobre 2019.
Spiegazione della vulnerabilità di Instagram
Il bug esisteva in una funzionalità aggiunta di nuovo da Instagram 2018 in conformità con GDPR. La normativa prevedeva che le aziende operanti in Europa ne informassero le autorità all'interno 72 ore di qualsiasi violazione dei dati, o affrontare le sanzioni finanziarie. La funzione GDPR ha permesso alle persone di scaricare i propri dati in un modo simile a quello di Facebook, la società madre, fornito ai suoi utenti.
Questo non è il primo caso in cui Instagram non rispetta la cancellazione dei dati delle persone. L'anno scorso, un altro ricercatore, Karan saini, ha scoperto che il servizio di condivisione di foto ha ignorato messaggi diretti per anni, anche se cancellato. Saini ha anche rivelato che Instagram ha inviato i dati da e verso account disattivati o sospesi.
La buona notizia è che il bug scoperto da Pokharel non sembra essere stato sfruttato in natura.
L'anno scorso, scoperto dal ricercatore di sicurezza Laxman Muthiyah una vulnerabilità critica che avrebbe potuto consentire agli aggressori remoti di reimpostare la password degli account Instagram, ottenendo così il pieno accesso agli account compromessi. La vulnerabilità risiedeva nel meccanismo di recupero della password nella versione mobile di Instagram.
La vulnerabilità è stata segnalata a Facebook, ma ci volle del tempo per il team di sicurezza di Facebook per riprodurre il problema in quanto le informazioni nella relazione del ricercatore non era abbastanza. Tuttavia, il video del proof-of-concept li ha convinti che l'attacco era fattibile.