Instagram為了滿足GDPR要求未能妥善處理已刪除的用戶照片和私信
一名安全研究人員發現Instagram在用戶下指令刪除照片和私信後並沒有這麼做而是長期保留在其服務器上,因此獲得了6000美元的除錯賞金。獨立安全研究人員Saugat Pokharel發現,當他從Instagram下載他的數據時,網站為了遵守新的歐洲數據規則在2018年推出的一項功能令下載的數據包含了他以前刪除的照片和與其他用戶的私人信息。
為了滿足GDPR,Instagram會將刪除的數據存儲一段時間,直到可以從其網絡、系統和緩存中適當地清除,這種處理方法在行業中並不罕見,Instagram表示,從其係統中完全刪除數據大約需要90天。
但Pokharel發現,他刪除的一年多前的數據仍然存儲在Instagram的服務器上,並且可以使用該公司的數據下載工具下載。
Pokharel在2019年10月通過Instagram的錯誤賞金計劃報告了這個錯誤,這個錯誤在本月早些時候得到了修復。
Instagram的發言人表示。”研究人員報告了一個問題,如果有人在Instagram上使用我們的’下載您的信息’工具,那麼他們刪除的Instagram圖片和消息將被包含在他們的信息副本中。我們已經修復了這個問題,迄今為止沒有看到任何濫用的證據。我們感謝研究人員向我們報告這個問題。”
這是Twitter去年修復的一個近乎相同的問題,在這個問題上,用戶可以使用自己的數據下載工具訪問長期刪除的直接信息–包括發送到和來自暫停和停用賬戶的信息。