Instagramがユーザー削除済み写真やメッセージをサーバーに長期保存していたことが判明、発見者に約64万円の報奨金

とあるセキュリティ研究者が、Instagram(インスタグラム)で彼自身が削除した写真やプライベートなダイレクトメッセージが長い間Instagramのサーバーに保存されていたことを発見し、脆弱性発見に対する報奨として6000ドル(約64万円)が贈られた。

独立セキュリティ研究者のSaugat Pokharel(ソウガト・ポカレル)氏は、欧州の新たなデータ規則に則るために2018年に導入された機能を使ってInstagramから自身のデータをダウンロード(未訳記事)したときに、ポカレル氏が以前削除した写真や、ほかのユーザーとのプライベートメッセージがダウンロードしたデータに含まれていることに気づいた。

削除されたばかりのデータを、ネットワークやシステム、キャッシュから完全に排除されるまで企業がしばらくの間保存しているのは珍しいことではない。Instagramは、削除されたデータが完全にシステムからなくなるのに約90日かかると話している。

しかしポカレル氏は、1年以上前に表面上は削除されたデータがInstagramのサーバーにまだ保存されていて、同社のデータダウンロードツールを使ってダウンロードできることに気づいた。

「私がデータをエンドから削除してもInstagramは削除しなかった」と同氏はTechCrunchに語った。

ポカレル氏は2019年10月にInstagramの脆弱性報奨プログラムを通じてバグを報告した。そして「バグは今月初めに修正された」と同氏は述べた。

Instagramの広報担当はTechCrunchに対し「削除されたInstagramの画像とメッセージが、『InstagramのDownload Your Informationツールが使われれば情報内にコピーされる』という問題を研究者は報告してくれました。当社は問題を修正し、また悪用されたという証拠は見つかっていません。問題を報告してくれた研究者に感謝します」と述べた。

これは、Twitter(ツイッター)が昨年修正したものとほぼ同じ問題だ。「ユーザーが自身のデータをダウンロードできるツールを使ってずいぶん前に削除したダイレクトメッセージにアクセスできた」というものだった。削除したはずのものには、一時停止あるいは非アクティブ化されたアカウントとやり取りしたメッセージも含まれていた。

画像クレジット: NurPhoto / Getty Images

[原文へ]

(翻訳:Mizoguchi

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。