Aplicativo ‘Download your Data’ expõe senhas do Instagram na URL

Aplicativo ‘Download your Data‘ expõe senhas do Instagram na URL. Uma falha de segurança na ferramenta “Download your data”, lançada recentemente pelo Instagram, poderia ter exposto algumas senhas de usuários, informou a empresa aos usuários.

A ferramenta, anunciada pelo Instagram pouco antes do regulamento GDPR entrar em vigor, foi projetada para permitir que os usuários vejam e baixem os dados pessoais coletados pela plataforma de mídia social.

Um porta-voz da empresa disse à The Information que a falha afetava apenas um “pequeno número” de usuários.

Independentemente do número de indivíduos afetados, este evento levanta grandes preocupações sobre a forma como o Instagram está lidando com os dados de seus usuários“, disse CMO Rich Campagna, da Bitglass ao SC Media. “Tendo em vista o fato de o Facebook ser o proprietário do Instagram e estar passando por vários desastres de segurança, não é surpresa que o Instagram esteja exibindo problemas semelhantes”.

Apesar da necessidade de maior segurança, “muitas empresas continuam exibindo uma administração deficiente sobre os detalhes pessoais de clientes, funcionários e outras partes”, disse Campagna. “A menos que as organizações comecem a respeitar a importância de proteger os dados dos clientes, continuaremos a ver empresas de grande porte cometendo erros caros que prejudicam inúmeras pessoas.”

Segundo o The Information os usuários do Instagram foram informados via e-mail que, caso tivessem utilizado a ferramenta “Download your data”, suas senhas teriam sido expostas ao serem incluídas no URL de uma página da Web vinculada à ferramenta. Além disso, as senhas também foram armazenadas nos computadores do Facebook.

A amplitude da falha não é clara neste momento, mas um porta-voz da empresa para o Instagram diz que a questão foi “descoberta internamente e afetou um número muito pequeno de pessoas”. Instagram também diz que o bug já foi resolvido e aconselha os usuários afetados a limpe o histórico do navegador para impedir que qualquer pessoa veja o URL que incluiu sua senha.

Este é um lapso de segurança bastante chocante e básico para o Instagram e Facebook, que não fez muito para provar aos usuários que ele sabe como lidar com dados confidenciais. Isso certamente levanta a questão de outras práticas de segurança no Instagram.

O Instagram originalmente lançou sua ferramenta “Download your data” em abril deste ano para cumprir o GDPR da UE, mas também está disponível para usuários em todo o mundo. Depois de solicitar seus dados por meio da ferramenta, o Instagram envia-lhe um e-mail em 48 horas com uma cópia completa de tudo o que você compartilhou no Instagram e de todos os dados que a empresa coletou.

Se o Instagram estivesse armazenando senhas com a tecnologia de criptografia correta, esse tipo de falha não seria possível“, disse Chet Wisniewski, principal pesquisador da empresa de segurança Sophos ao The Information. Ele disse que a única maneira que poderia aparecer na URL é se a senha fosse armazenada em algum lugar dentro do Instagram em texto simples, o que não é recomendado no setor de segurança.

Isso é muito preocupante com outras práticas de segurança dentro do Instagram, porque isso literalmente não deveria ser possível. Se isso está acontecendo, então provavelmente há problemas muito maiores do que isso ”, disse ele.

Esse é o último problema de segurança do Facebook, que anunciou uma violação de segurança em setembro que comprometeu as informações pessoais de mais de 30 milhões de usuários, incluindo sexo, trabalho, aniversário e local. Essa violação ocorreu no aplicativo do Facebook, mas este último incidente sugere que falhas de segurança podem existir em alguns dos outros aplicativos do Facebook também. A informação relatou anteriormente que o Facebook está no mercado para adquirir uma empresa de segurança para reforçar suas defesas contra hackers e tentar evitar esses tipos de erros.

O Facebook disse em uma mensagem enviada para alguns usuários do Instagram que, desde então, mudou a ferramenta “Download Your Data” para que esse bug não ocorra mais. O Instagram disse aos usuários que eles devem atualizar suas senhas e limpar o histórico do navegador.

Fonte: SC Magazine & 9To5Mac & The Information

Veja também:

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Hackeada por 4 anos, rede Marriott compromete dados de 500Mi de clientes - Minuto da Segurança da Informação
  2. Código-fonte da Stone vaza às véspera de lançar ações na Nasdaq
  3. Vaza dados e senhas de clientes da TIVIT

Deixe sua opinião!