Instagram意外地在URL中显示明文密码

4月份,由于GDPR截止日期及其对数据可移植性的要求迫在眉睫,Facebook发布了期待已久的Instagram数据工具下载 。该功能使用户能够下载图像,帖子和评论。

不幸的是,Facebook将下载数据的任务转变为以纯文本显示人们密码的练习。值得庆幸的是,“下载您的数据”工具中的错误只影响了少数用户,Facebook表示。

正如The Information上周报道的那样,Instagram在周四晚上告诉受影响的用户,如果他们使用“下载你的数据”功能,他们的密码就会以明文形式出现在浏览器的网址中。

对于在家中使用非共享计算机的用户而言,这可能不是什么大问题,但正如Facebook在通知用户时所说,这意味着任何在公共计算机上使用该工具的人 – 比如在图书馆中 – 都暴露了他们的密码在URL中:给可能在场的任何肩膀冲浪者带来不幸的礼物。

这也意味着Instagram密码存储在Facebook服务器上,用户注意到,这意味着明文,而不是加密。

Facebook没有透露任何人的Instagram帐户是否因为错误而遭到入侵。该信息援引Instagram发言人的话说,问题是……

……在内部发现并影响了极少数人。

Sophos自己的主要研究科学家Chester Wisniewski告诉The Information,如果Instagram正在加密,这绝不会发生。对于Facebook拥有的Instagram能够在URL中绊倒和发布明文密码,这意味着在Instagram内部的某个地方,用户的密码以纯文本形式弹出。切斯特说:就行业最佳实践而言,这并不好。

这对Instagram内部的其他安全实践非常关注,因为字面上应该不可能。如果发生这种情况,那么可能会出现更大的问题。

我们已经看到了更大的近期问题

确实存在更大的问题。我们不知道Facebook拥有的Instagram对“小”的定义是什么,但是我们确实知道安全措施导致 9月份Facebook的大规模违规,最终将导致大约30百万账户受到影响 ,另有4000 万账户被重置为“预防措施”。

攻击者利用Facebook的“查看为”功能中的漏洞来窃取访问令牌,这是允许您保持登录Facebook的密钥,因此您无需在每次使用该应用程序时重新输入密码。至少在袭击发生后的早期,Facebook表示,当开发人员在2017年7月对视频上传功能进行更改时,看起来好像已经打开了洞。攻击者然后偷了一个帐户的访问令牌,然后使用了帐户转向他人并窃取更多令牌。

上个月, The Information报道Facebook希望通过购物治疗解决其安全问题:即熟悉此事的消息人士表示,Facebook正在寻求收购一家大型网络安全公司,并且该交易可能会在结束后立即宣布。那一年。