Průšvih Instagramu, funkce stažení dat mohla odkrýt vaše heslo
19.11.2018, Milan Šurkala, aktualita
V souvislosti s GDPR zavedla sociální síť Instagram možnost stáhnout si všechna data ze sítě. Paradoxně to byla právě tato funkce, která ve výsledku mohla osobní data uživatelů extrémně ohrozit, občas totiž vyzrazovala hesla.
Koncem dubna se kvůli zavádění GDPR objevila na Instagramu funkce, díky které si uživatelé mohli stáhnout všechna data, která nahráli na Instagram. Díky tomu jim byla usnadněna možnost zrušit své účty a nepřijít o nahraná data. Na celé situaci je však paradoxní to, že právě tato funkce obsahovala velmi nepříjemnou chybu, která v případě zneužití mohla být znatelně větším bezpečnostním rizikem než neupravení systému pro požadavky GDPR. U některých uživatelů se totiž do URL adresy ke stažení dat dostalo i jejich heslo.
Proč se zrovna takový údaj dostal do URL, není známo. Instagram chybu rychle opravil a nyní rozesílá e-maily těm, kterých se týká tento problém (heslo se objevilo jen u části uživatelů, nikoli u všech, kteří funkci využili). Riziko je spojeno především s historií prohlížeče, pokud na stejném počítači pracují i jiní uživatelé. Ti tak v historii mohou vidět tento odkaz a naprosto bez problémů zjistit heslo někoho jiného. Pokud jej oběť používá i někde jinde, může jim útočník v takovém případě nabourat nejen Instagram, ale i mnoho jiných služeb. Znovu se tedy ukazuje, že je dobré mít pro každou službu unikátní heslo (což se snáze říká, ale hůře dělá). V případě Instagramu lze zvýšit bezpečnost např. dvoufaktorovou autentizací.
