Instagram、平文パスワードが含まれたURLを生成する不具合

2018年11月22日 08:41

小

中

大

印刷

記事提供元:スラド

nemui4曰く、 Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ(GIGAZINEギズモード・ジャパンiPhone Mania)。

 ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。

 問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。

 このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。

 スラドのコメントを読む | ITセクション | セキュリティ | SNS

 関連ストーリー:
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日
T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 2018年04月12日
macOS High Sierraで外部APFS暗号化ボリュームのパスワードが平文でログに記録される問題 2018年03月31日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日

※この記事はスラドから提供を受けて配信しています。

関連キーワードiOSAndroidInstagram

「セキュリティ・プライバシー」の写真ニュース

IT・サイエンスの最新ニュース

RSS

もっと見る

主要ニュース

RSS

もっと見る

広告

広告

SNSツール

RSS

facebook

zaikeishimbun

いいね!

twitter

@zaikei_it

フォロー

google+

Hatena

広告

ピックアップ 注目ニュース