Instagram疑似泄露部分用户密码

iso60001  2225天前

Instagram近期通知一些用户,由于安全故障,可能意外的泄露了他们的密码。

根据公司发言人的说法,这个bug是“在内部发现的,影响到极少数人。”

这个消息首先由The Information报道,这个问题影响了Instagram在4月份上线的“下载您的数据”(以便让用户知道站点收集了哪些个人数据)的工具。

该功能由符合GDPR的社交媒体平台实现。

“具有讽刺意味的是,该安全漏洞与Instagram四月份引入的一个工具有关,该工具让用户了解到网站收集了多少个人数据。“下载你的数据”使得用户下可以载Instagram上关于他们的所有数据,这既符合新的欧洲数据隐私法规,又满足世界各地对隐私越来越敏感的用户的需求。(https://www.theinformation.com/articles/new-instagram-bug-raises-security-questions

22.jpg

Instagram通知用户,如果他们使用了“下载您的数据”工具,他们的密码可能意外的被泄露出来,因为密码就被包含在URL中。

“如果有人在使用Instagram的“下载你的数据”工具时,提交他们的登录信息时,他们可能在页面的URL中看到自己的密码信息。”Instagram的发言人说道。

在公共网络上使用这个工具可能已经向攻击者暴露了密码,该公司还通知用户密码也存储在Facebook的计算机上。

安全专家担心Instagram公司会以明文形式存储密码,但公司发言人否认了这一说法,称公司只存储密码的哈希值。

“根据Sophos安全公司的首席研究科学家Chet Wisniewski的说法,如果Instagram使用正确的加密技术存储密码,这种类型的漏洞是不可能出现的。”The Information说道。

“他表示,导致在URL中显示密码的唯一可能就是密码以明文形式存储在Instagram内部的某个地方,这在安全行业是不能接受的。”

“而这也使得我非常关注Instagram内部的是否有其他的安全操作。因为如果明文密码存储这种情况发生,那么可能会有更大的问题,”他说。

Facebook旗下的公司证实,该漏洞已经修复,但作为预防措施,它还是建议用户更改密码。

这不是首次Instagram公司的安全措施受到专家的质疑。今年8月份,数百个账户被劫持,这似乎是一次大范围集体攻击,所有账户都有相同的被入侵的痕迹。

据称攻击者可以修改个人信息使得用户无法恢复账户。

而在更早前的2017年9月,Doxagram网站声称正在出售文件大小达6M的高档Instagram账户的电子邮件地址和电话号码,这些账户从POTUS到Taylor Swift不等。

原文链接:https://securityaffairs.co/wordpress/78173/data-breach/instagram-glitch-exposed-passwords.html

最新评论

昵称
邮箱
提交评论