Операторы социальной сети Instagram исправили программную ошибку, из-за которой пароль пользователя иногда отображался открытым текстом в адресной строке браузера. Затронутых клиентов уже начали оповещать об инциденте по электронной почте, настоятельно рекомендуя сменить пароль.

Потенциально опасный баг появился с запуском опции Download Your Data — ее добавили в минувшем апреле, чтобы привести сайт в соответствие требованиям GDPR. Новая функция позволяет пользователям отслеживать информацию, которую они публикуют в Instagram, в том числе фото, записи, комментарии и другие данные.

Чтобы эти сведения не попали в чужие руки, у пользователя при активации этой опции повторно запрашивают пароль. Из-за ошибки, допущенной в реализации механизма Download Your Data, пароль мог в незашифрованном виде появиться в адресной строке соответствующей страницы. На компьютерах общего пользования, в скомпрометированных сетях и при дублировании пароля на других сайтах это грозило взломом аккаунтов. Более того, вводимые для подтверждения пароли сохранялись на серверах Facebook, которой принадлежит Instagram.

Проблему уже устранили; по словам представителей Instagram, она затронула «небольшое количество пользователей». Им следует в кратчайшие сроки сменить пароль и очистить историю браузера. Остальным пользователям тоже рекомендуется усилить пароли, а также включить двухфакторную аутентификацию — эта опция доступна на сервисе уже полтора года.

Утечка в Instagram не столь масштабна, как недавний инцидент на Facebook, когда ошибка создателей опции View As («Посмотреть как») привела к компрометации аккаунтов 30 млн пользователей социальной сети. В случае с Instagram таких последствий пока не замечено — по крайней мере, данных об этом нет.

В том, что подобные изъяны в коде могут быть очень опасными, компания убедилась в августе, когда на фотообменнике был выявлен массовый угон аккаунтов. Неизвестные злоумышленники блокировали вход в профиль легитимному пользователю, затем стирали данные, привязывали аккаунт к своему email-адресу и замораживали активность. Не исключено, что авторы атаки планировали использовать взломанные аккаунты Instagram в качестве ботов.

Категории: Главное, Уязвимости