Instagram mantinha históricos e fotos deletadas em servidores

Aplicativo é notificado de bug por usuário após utilizar recurso de download de suas informações

Foto: Reprodução


Segundo o pesquisador de segurança independente, Saugat Pokharel, ao baixar seus dados do Instagram, através de um recurso lançado em 2018 para cumprir as novas regras de dados europeias (GPDR), nos dados baixados continham fotos e mensagens privadas com outros usuários que ele havia excluído anteriormente.


Pokharel informou que o Instagram reteve fotos e mensagens diretas privadas em seus servidores muito depois de excluí-las.


Não é incomum para as empresas armazenar dados excluídos por um tempo até que eles possam ser devidamente limpos de suas redes, sistemas e caches. O Instagram informou que leva cerca de 90 dias para que os dados excluídos sejam totalmente removidos de seus sistemas.


Mas não foi o que aconteceu no caso de Pokharel, que identificou que seus dados supostamente excluídos a mais de um ano atrás e ainda estavam armazenados nos servidores do Instagram e podiam ser baixados usando a ferramenta de download de dados da empresa.


“O Instagram não excluiu meus dados, mesmo quando eu os apaguei do meu lado”, disse ele ao site TechCrunch.


O bug foi relatado em outubro de 2019 por meio do programa de recompensa de bugs do Instagram, e gerou uma recompensa de US $ 6.000 ao pesquisador pela descoberta. O bug foi corrigido no início deste mês, disse ele.


Um porta-voz do Instagram disse ao TechCrunch: “O pesquisador relatou um problema em que as imagens e mensagens excluídas do Instagram de alguém eram incluídas em uma cópia de suas informações se usassem nossa ferramenta Baixe suas informações no Instagram. Corrigimos o problema e não vimos nenhuma evidência de abuso. Agradecemos ao pesquisador por nos relatar esse problema. ”


É um problema muito semelhante ao que aconteceu com o Twitter no ano passado, no qual os usuários podiam acessar mensagens diretas excluídas há muito tempo - incluindo mensagens enviadas de e para contas suspensas e desativadas - usando sua própria ferramenta de download de dados.


Vale lembrar que aqui no Brasil, entra em vigor a LGPD (Lei Geral de Proteção de Dados Pessoais - Lei nº 13.709/2018), e regulamenta o uso de dados de pessoas físicas por empresas e tem como objetivo aumentar a privacidade dos dados pessoais e dar poder às entidades reguladoras para a fiscalização em organizações.


Nós da KSecurity, contamos com um time de especialistas em segurança da informação e estamos prontos para auxiliar sua empresa a se enquadrar nas novas normas da LGPD.


Saiba como falando com um de nossos especialistas: comercial@ksecurity.com.br


Fonte: TechCrunch

8 visualizações
  • Twitter Ksecurity
  • Branca Ícone LinkedIn
  • White Facebook Icon

© 2019 by KSecurity - Todos os Direitos Reservados

FALE COM A K