Instagramで一部ユーザーのパスワードが流出するバグが発生

Facebook傘下の写真共有SNS、Instagramで、一部のユーザーのパスワードが表示されてしまうという、深刻なバグが発生しました。
自分のデータのコピーを入手するツールに深刻なバグ
The Informationによれば今回の問題は、Instagramが4月に導入した、ユーザーが自分のデータのコピーをダウンロードするためのツール「Download Your Data」にあったようです。
このツールを利用して、ユーザーがInstagram上で共有した自分のデータのコピーを請求すると、データをダウンロードするためのURLがメールで送られてきます。ところが一部のユーザーについてはこのURLに、パスワードがプレーンテキストで含まれているという事態が起きていました。さらにこれらのパスワードは、Facebookのサーバにも保管されていました。
つまり自分専用の端末でコピー請求ツールを利用した場合はまだいいとして、共有端末でツールを利用した場合、他のユーザーにもパスワードが公開されてしまいます。
問題はすでに修正済み
Facebookはパスワードが公開されてしまったユーザーに通知するとともに、問題のツールのバグを修正、サーバからのパスワードの削除も行ったとのことです。
Instagramはバグの影響を受けたのはごく一部のユーザーだと説明していますが、共有端末を利用しているユーザーに対しては、ブラウザ履歴を消去してパスワードが含まれたURLが他の人に閲覧されないようにするよう、アドバイスしています。
Facebookでは2,900万人のユーザーデータが流出
セキュリティ問題といえば、Facebookは9月末にも「View As」機能のコードの脆弱性を突いた攻撃を受け、2,900万人のユーザーデータが流出したと報告しています。
Source:The Information via Engadget
Photo:Pixabay
(lunatic)