Instagram przechowywał dane usuniętych kont nie stosując się do GDPR/RODO
Wydawać by się mogło, że instytucje tak wielkie, znane i profesjonalne jak Instagram są świadome swojej struktury oraz wiedzą jakie dane użytkowników przechowują i w jaki sposób są one wykorzystywane. Okazuje się, że nie jest tak do końca, co wprowadza nutkę niepokoju u użytkowników.
Mianowicie, specjalista cyberbezpieczeństwa Saugat Pokharel odkrył „lukę” w procedurze usuwania konta na Instagramie, kiedy to udało mu się pobrać swoje zdjęcia wiele miesięcy po tym jak usunął swoje konto z serwisu. Okazało się, że Instagram przechowywał kopie usuniętych zdjęć i prywatnych wiadomości bezpośrednio na swoich serwerach, nawet po tym jak właściciel usunął je z konta. Serwis należący do Facebooka potwierdził tę pomyłkę i przyznał odkrywcy błędu 6000 USD nagrody.
Saugat twierdzi, że znalazł lukę w październiku 2019 roku i aby otrzymać nagrodę nie mógł wcześniej chwalić się tym odkryciem.
Wada polegała na funkcji, którą Instagram uruchomił w 2018 roku w odpowiedzi na europejskie ogólne rozporządzenie o ochronie danych osobowych (RODO), które wymaga od wszystkich firm działających w Europie powiadomienia władz w ciągu 72 godzin od wykrytego włamania naruszającego dane osobowe. RODO zawiera oczywiście również regulacje odnośnie udostępniania danych podmiotom trzecim, a także „prawo do bycia zapomnianym”, czyli obowiązek usunięcia wszystkich danych osoby, która przestaje być użytkownikiem. To ostatnie właśnie nie zostało poprawnie przeprowadzone przez Instagram.
Błąd nie jest jednak pierwszym przypadkiem, w którym Instagram zapisuje dane osób, nawet gdy myśleli, że je usunęli. W zeszłym roku badacz bezpieczeństwa Karan Saini poinformował, że firma od lat przechowuje bezpośrednie wiadomości, nawet jeśli ludzie usunęli je ze swojego profilu. Co więcej, odkrył, że Instagram wysyłał również dane „do” oraz „z” kont, które zostały dezaktywowane i zawieszone.
Rzecznik Instagrama potwierdził błąd i jego poprawkę oraz powiedział, że według raportu nie ma „dowodów na wykorzystanie” tej luki. Podziękował również odkrywcy podatności za zgłoszenie problemu.
Fakt, że aplikacja społecznościowa mogła niewłaściwie obchodzić się z danymi użytkownika, nie powinien w sumie dziwić. Facebook znalazł się pod silnym ostrzałem ze względu na swoje praktyki dotyczące prywatności, a nawet otrzymał od Federalnej Komisji Handlu (FTC) grzywnę w wysokości 5 miliardów dolarów za rozpowszechnianie danych użytkowników bez ich wiedzy w niesławnym incydencie z Cambridge Analytica.
Twitter również miał problemy ze sposobem wykorzystywania danych, które gromadzi o swoich użytkownikach. Firmie może grozić grzywna w wysokości do 250 milionów dolarów od po tym, jak w zeszłym roku przyznała, że e-maile użytkowników i numery telefonów były wykorzystywane do ukierunkowanych reklam.
W międzyczasie popularna aplikacja TikTok, należąca do firmy macierzystej ByteDance Ltd. z siedzibą w Pekinie, zdobyła ostatnio lwią część nagłówków ze względu na własne, wątpliwe praktyki dotyczące prywatności danych użytkowników. Stwierdzono, że aplikacja zbiera unikalne identyfikatory z milionów urządzeń z Androidem bez wiedzy ich użytkowników, stosując taktykę wcześniej zabronioną przez Google. TikTok ukrywał tę metodę za pomocą dodatkowej warstwy szyfrowania.
Widzimy, że po wprowadzeniu w życie przepisów GDPR pojawia się coraz więcej afer odnośnie przetwarzania danych osobowych wśród gigantów społecznościowych. Błąd Instagrama obszedł się na razie bez kary, ponieważ firma udowodniła, że nie była świadoma tego procesu i nie wykorzystywała ani nie udostępniała danych skasowanych kont.
Popularne
7-Zip podatny na NTFS Heap Overflow
Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
Account Discovery w Entra ID, czyli nie da się zarządzać dostępem, którego nie widać
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
