Instagram、平文パスワードが含まれたURLを生成する不具合

2018年11月22日 08:41

小

中

大

印刷

記事提供元:スラド

nemui4曰く、 Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ(GIGAZINEギズモード・ジャパンiPhone Mania)。

 ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。

 問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。

 このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。

 スラドのコメントを読む | ITセクション | セキュリティ | SNS

 関連ストーリー:
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日
T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 2018年04月12日
macOS High Sierraで外部APFS暗号化ボリュームのパスワードが平文でログに記録される問題 2018年03月31日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日

※この記事はスラドから提供を受けて配信しています。

関連キーワードiOSAndroidInstagram

広告

広告

写真で見るニュース

  • ゆいレール (c) 123rf
  • 2018年7月に実施された実証実験時の様子。(画像:セコムの発表資料より)
  • 新型「KATANA」。(画像:スズキ発表資料より)
  • 金農パンケーキ~ブルーベリー&ホイップクリーム~。(画像:ローソン発表資料より)
  • ポーランドのワルシャワにあるニコラウス・コペルニクスの像。
  • 米月周回無人衛星「ルナー・リコネサンス・オービター 」が撮影した月の裏側 (c) NASA/GSFC/Arizona State University
  • ファイナルファンタジーXIVウエディングオリジナル演出。4K対応の大迫力スクリーンの前で、オリジナル証明書へのサイン。(画像:ブライダルハート発表資料より)
  • SBXC039。(画像:セイコーウオッチ発表資料より)
 

広告

ピックアップ 注目ニュース