2018年11月20日 10時26分 セキュリティ

InstagramがユーザーのパスワードをURL内で公開するミス、なぜかFacebookにもパスワードが保存されていたと判明



Instagramがユーザーのパスワードを、URL内に平文で表示するという痛恨のミスを犯し、ユーザーのパスワードが第三者に閲覧可能な状態だったことが明らかになりました。



New Instagram Bug Raises Security Questions — The Information

https://www.theinformation.com/articles/new-instagram-bug-raises-security-questions



Instagram Accidentally Exposed Some Users' Passwords In Plaintext

https://thehackernews.com/2018/11/instagram-password-hack.html



問題のバグが発生したのは、Instagramが2018年4月に導入した、ユーザーが自分でInstagram上で共有した画像やムービーのデータをダウンロードできる機能「Download Your Data」です。Instagramの親会社であるFacebookのユーザーデータの悪用問題が発生したことをきっかけに登場したこの機能のおかげで、それまでダウンロードできなかったユーザー自身のデータをダウンロードできるようになりました。





そのDownload Your Dataでデータをダウンロードしようとすると、データダウンロード専用ページのURLが送信され、ユーザーが設定したパスワードを要求されます。しかし、一部のユーザーには、データダウンロード専用ページのURLに「平文のパスワード」が含まれた状態になっており、ユーザーのパスワードを第三者が閲覧可能になっていたとのこと。



InstagramはURL上でパスワードが表示される問題を解決済みですが、パスワード開示の影響を受けたユーザーに対しては、できるだけ早くパスワードを変更し、ブラウザの履歴を消去するよう推奨する通知を行っています。なお、Instagramから通知を受けていないユーザーは、今回のバグの影響を受けていないそうです。



また、URL上でパスワードが表示されるというバグに関する社内調査の結果、ユーザーのパスワードがInstagramの親会社であるFacebookのサーバーにも保存されるという「バグ」も発見されたとのこと。親会社だとはいえ、異なるサービスのサーバーでパスワードが共有されるという取り扱いには大いに問題がありそうですが、InstagramによるとFacebookサーバー上のユーザーパスワードはすべて削除されたそうです。

