O Instagram violou a privacidade de seus usuários ao reter pessoas’ fotos e mensagens diretas privadas em seus servidores, mesmo depois que as pessoas as apagaram.
A vulnerabilidade foi descoberta pelo pesquisador Saugat Pokharel quando ele baixou seus dados do Instagram no ano passado. Foi assim que ele descobriu que os dados incluíam fotos e mensagens que ele havia removido anteriormente. O pesquisador recebeu uma recompensa de $6,000 por trazer esse problema à tona por meio do programa de recompensa de bug do Instagram.
Em uma conversa com TechCrunch, Pokharel disse que o Instagram não excluiu seus dados, mesmo quando ele os excluiu de sua extremidade. Uma vez que ele percebeu esse problema, ele relatou isso. Isso foi em outubro 2019.
Vulnerabilidade do Instagram explicada
O bug existia em um recurso que o Instagram adicionou em 2018 de acordo com o GDPR. Os regulamentos exigiam que as empresas que operam na Europa notificassem as autoridades dentro 72 horas de qualquer violação de dados, ou enfrentar as penalidades financeiras. O recurso GDPR permitiu que as pessoas baixassem seus dados de maneira semelhante ao que o Facebook, a companhia parente, fornecido a seus usuários.
Este não é o primeiro caso de Instagram não obedecendo aos dados das pessoas sendo excluídos. Ano passado, outro pesquisador, Karan saini, descobriram que o serviço de compartilhamento de fotos guardou mensagens diretas por anos, mesmo quando excluído. Saini também revelou que o Instagram enviava os dados de e para contas que foram desativadas ou suspensas.
A boa notícia é que o bug descoberto por Pokharel não parece ter sido explorado na natureza.
Ano passado, o pesquisador de segurança Laxman Muthiyah descobriu uma vulnerabilidade crítica que poderia ter permitido que invasores remotos redefinissem a senha de contas do Instagram, obtendo assim acesso completo às contas comprometidas. A vulnerabilidade residia no mecanismo de recuperação de senha na versão móvel do Instagram.
A vulnerabilidade foi relatada ao Facebook, mas levou algum tempo para a equipe de segurança do Facebook reproduzir o problema, pois as informações no relatório do pesquisador não eram suficientes. Contudo, o vídeo de prova de conceito os convenceu de que o ataque era viável.