Баг в Instagram сливал пароли

Разработчики Instagram исправили программную ошибку, из-за которой пароль пользователя иногда отображался открытым текстом в адресной строке браузера, сообщает Threatpost. Затронутых этим багом пользователей уже начали оповещать об инциденте по электронной почте, настоятельно рекомендуя сменить пароль.

Потенциально опасный баг появился с запуском опции Download Your Data — ее добавили в апреле этого года, чтобы привести сайт в соответствие требованиям GDPR. Новая функция позволяет пользователям отслеживать информацию, которую они публикуют в Instagram, в том числе фото, записи, комментарии и другие данные.

Чтобы эти сведения не попали в чужие руки, у пользователя при активации этой опции повторно запрашивают пароль. Из-за ошибки, допущенной в реализации механизма Download Your Data, пароль мог в незашифрованном виде появиться в адресной строке соответствующей страницы.

На компьютерах общего пользования, в скомпрометированных сетях и при дублировании пароля на других сайтах это грозило взломом аккаунтов. Более того, вводимые для подтверждения пароли сохранялись на серверах Facebook, которой принадлежит Instagram.

Проблему уже устранили. По словам представителей Instagram, она затронула «небольшое число пользователей». Им рекомендуется в кратчайшие сроки сменить пароль и очистить историю браузера.

* * *