La red
social Instagram revela por error las contraseñas de parte de sus usuarios.
El problema
reside en la nueva opción para descargar el histórico de la actividad de los
usuarios, que almacenaba la contraseña en texto plano en los servidores de
Facebook. Este histórico contiene (entre otra información) fotografías,
comentarios, posts y en definitiva toda la actividad que el usuario genera
dentro de la red social.
Recordemos
que esta nueva funcionalidad es obligatoria para cumplir con la normativa
Europea que regula la privacidad de los usuarios; la GDPR (General Data
Protection Regulation), que fue implantada tras el escándalo de Cambridge
Analytica.
Para
prevenir accesos no autorizados a la descarga de dicho histórico, Instagram
pide antes confirmación de la credencial de acceso del usuario. Sin embargo,
las contraseñas en texto plano quedaban incluidas en la URL y posteriormente se
almacenaban en los servidores de Facebook debido a un fallo de seguridad. Este
problema fue descubierto por el propio equipo de Instagram.
La compañía
ha solucionado el problema con rapidez y a través de un comunicado esclarecen
que las contraseñas ya se han borrado de los servidores de Facebook.
Posteriormente se comenzó a notificar a los usuarios afectados para que cambien
sus contraseñas a la mayor brevedad posible, borren la caché del navegador y
habiliten la verificación en dos pasos. Este incidente, según el equipo de
Instagram ha afectado a un número muy pequeño de usuarios.
Esta falla
se suma a la ya ocurrida a finales de agosto, donde se corrigieron fallos
importantes en la API de la red social que permitió a atacantes (aun
desconocidos) conocer los correos electrónicos y números de teléfono de
usuarios famosos de alto perfil.
Fuente:
Hispasec