Instagramがユーザー削除済み写真やメッセージをサーバーに長期保存していたことが判明、発見者に約64万円の報奨金

次の記事

Facebookユーザーは自分の利用時間を把握するのがかなり苦手という調査結果

とあるセキュリティ研究者が、Instagram(インスタグラム)で彼自身が削除した写真やプライベートなダイレクトメッセージが長い間Instagramのサーバーに保存されていたことを発見し、脆弱性発見に対する報奨として6000ドル(約64万円)が贈られた。

独立セキュリティ研究者のSaugat Pokharel(ソウガト・ポカレル)氏は、欧州の新たなデータ規則に則るために2018年に導入された機能を使ってInstagramから自身のデータをダウンロード(未訳記事)したときに、ポカレル氏が以前削除した写真や、ほかのユーザーとのプライベートメッセージがダウンロードしたデータに含まれていることに気づいた。

削除されたばかりのデータを、ネットワークやシステム、キャッシュから完全に排除されるまで企業がしばらくの間保存しているのは珍しいことではない。Instagramは、削除されたデータが完全にシステムからなくなるのに約90日かかると話している。

しかしポカレル氏は、1年以上前に表面上は削除されたデータがInstagramのサーバーにまだ保存されていて、同社のデータダウンロードツールを使ってダウンロードできることに気づいた。

「私がデータをエンドから削除してもInstagramは削除しなかった」と同氏はTechCrunchに語った。

ポカレル氏は2019年10月にInstagramの脆弱性報奨プログラムを通じてバグを報告した。そして「バグは今月初めに修正された」と同氏は述べた。

Instagramの広報担当はTechCrunchに対し「削除されたInstagramの画像とメッセージが、『InstagramのDownload Your Informationツールが使われれば情報内にコピーされる』という問題を研究者は報告してくれました。当社は問題を修正し、また悪用されたという証拠は見つかっていません。問題を報告してくれた研究者に感謝します」と述べた。

これは、Twitter(ツイッター)が昨年修正したものとほぼ同じ問題だ。「ユーザーが自身のデータをダウンロードできるツールを使ってずいぶん前に削除したダイレクトメッセージにアクセスできた」というものだった。削除したはずのものには、一時停止あるいは非アクティブ化されたアカウントとやり取りしたメッセージも含まれていた。

画像クレジット: NurPhoto / Getty Images

[原文へ]

(翻訳:Mizoguchi