Instagram ha esposto accidentalmente le password di alcuni utenti
Instagram ha recentemente risolto una problematica di sicurezza nel proprio sito web per la quale le password di alcuni utenti sono finite esposte nel web. Ha inviato quindi una serie di notifiche a utenti riguardati da questo bug, che risiede nella funzione chiamata "Scarica i tuoi dati": è una nuova funzione offerta dal social che consente agli utenti di scaricare una copia dei dati condivisi sulla piattaforma, inclusi foto, commenti, post e altre informazioni condivise. Per impedire che utenti non autorizzati possano avere accesso a questi dati, la funzione chiede la riconferma della password prima di avviare il download dei dati. Tuttavia, stando all'avviso diramato da Instagram, le password in chiaro di alcuni utenti che hanno usato tale funzione sono finiti incluse nell'URl e memorizzate anche sui server di Facebook: la causa è appunto il bug di sicurezza scoperto entro Instagram.
L'azienda ha specificato di aver rimosso i dati salvati sui server di proprietà di Facebook (che è la casa madre di Instagram) e ha annunciato di aver aggiornato la funzione "Scarica i tuoi dati", risolvendo la problematica di sicurezza. La funzione "Scarica i tuoi dati" è stata implementata da Instagram in Aprile, per conformarsi alle nuove direttive del regolamento Europeo sulla protezione dei dati (GDPR), ma anche per rassicurare gli utenti dopo lo scandalo Facebook&Cambridge Analytica.
Che cosa fare?
Consigliamo a tutti gli utenti riguardati da tale bug di cambiare prima possibile la password del proprio account e di svuotare la cronologia/cookie del browser. Gli utenti che invece non hanno ricevuto notifiche da Instagram non dovrebbero essere stati riguardati dal bug: un cambio password è comunque consigliabile per garantire la sicurezza del proprio account.
Consigliamo inoltre a tutti gli utenti di abilitare l'autenticazione a due fattori (2FA) e di usare password forti, ma diverse per ogni account.
Gli ultimi eventi simili...
Facebook sta attraversando un travagliatissimo periodo, se guardiamo gli eventi sotto la lente della privacy e sicurezza dati. Qualche settimana fa (ne abbiamo parlato qui) è stato affrontato un bug ben più grave nella funzione "Visualizza come", che è stato sfruttato da cyber attaccanti consentendo loro di rubare i token di accesso di oltre 30 milioni di utenti Facebook. Alla fine di Agosto Instagram aveva affrontato un grave errore nella sua API: un bug sfruttato da attaccanti sconosciuti e che ha garantito loro di mettere le mani su numeri di telefono ed indirizzi email di molto utenti di "altro profilo" con account verificati. Nello stesso mese sempre Instagram è finito sotto attacco nell'ambito di una campagna di hacking che ha misteriosamente "espulso" centinaia di utenti dai propri account a seguito di modifica del nome account, dell'indirizzo email collegato, dell'immagine di profilo e della password.