Instagram疑似泄露部分用户密码

Instagram近期通知一些用户，由于安全故障，可能意外的泄露了他们的密码。

根据公司发言人的说法，这个bug是“在内部发现的，影响到极少数人。”

这个消息首先由The Information报道，这个问题影响了Instagram在4月份上线的“下载您的数据”（以便让用户知道站点收集了哪些个人数据）的工具。

该功能由符合GDPR的社交媒体平台实现。

“具有讽刺意味的是，该安全漏洞与Instagram四月份引入的一个工具有关，该工具让用户了解到网站收集了多少个人数据。“下载你的数据”使得用户下可以载Instagram上关于他们的所有数据，这既符合新的欧洲数据隐私法规，又满足世界各地对隐私越来越敏感的用户的需求。（https://www.theinformation.com/articles/new-instagram-bug-raises-security-questions）

Instagram通知用户，如果他们使用了“下载您的数据”工具，他们的密码可能意外的被泄露出来，因为密码就被包含在URL中。

“如果有人在使用Instagram的“下载你的数据”工具时，提交他们的登录信息时，他们可能在页面的URL中看到自己的密码信息。”Instagram的发言人说道。

在公共网络上使用这个工具可能已经向攻击者暴露了密码，该公司还通知用户密码也存储在Facebook的计算机上。

安全专家担心Instagram公司会以明文形式存储密码，但公司发言人否认了这一说法，称公司只存储密码的哈希值。

“根据Sophos安全公司的首席研究科学家Chet Wisniewski的说法，如果Instagram使用正确的加密技术存储密码，这种类型的漏洞是不可能出现的。”The Information说道。

“他表示，导致在URL中显示密码的唯一可能就是密码以明文形式存储在Instagram内部的某个地方，这在安全行业是不能接受的。”

“而这也使得我非常关注Instagram内部的是否有其他的安全操作。因为如果明文密码存储这种情况发生，那么可能会有更大的问题，”他说。

Facebook旗下的公司证实，该漏洞已经修复，但作为预防措施，它还是建议用户更改密码。

这不是首次Instagram公司的安全措施受到专家的质疑。今年8月份，数百个账户被劫持，这似乎是一次大范围集体攻击，所有账户都有相同的被入侵的痕迹。

据称攻击者可以修改个人信息使得用户无法恢复账户。

而在更早前的2017年9月，Doxagram网站声称正在出售文件大小达6M的高档Instagram账户的电子邮件地址和电话号码，这些账户从POTUS到Taylor Swift不等。

原文链接：https://securityaffairs.co/wordpress/78173/data-breach/instagram-glitch-exposed-passwords.html