聚焦源代码安全,网罗国内外最新资讯!
作者:Swati Khandelwal
编译:360代码卫士团队
Instagram 最新修复了网站中的一个安全问题,它不慎将某些用户的明文密码泄露出去。
Instagram 公司最近开始通知受影响用户称,该漏洞存在于新增功能“下载你的数据”中。用户可通过该功能下载分享在该社交媒体平台上的数据副本,包括照片、评论、帖子以及其它共享信息。
为阻止未授权用户触及他人的个人信息,该功能要求用户在下载数据前重新确认密码。然而,Instagram 公司指出,某些使用了该功能的用户的明文密码包含在了 URL 中以及存储在 Facebook 的服务器中。该漏洞是由 Instagram 内部团队发现的。
该公司指出,存储数据已从 Instagram 的母公司 Facebook 的服务器中删除。现在已更新版本解决该问题,它“影响少量用户”。
“下载你的数据”功能是由 Instagram 在今年4月按照欧盟颁发的《通用数据保护条例 (GDPR)》发布的,而且也是为了因 Facebook 公司的剑桥分析公司丑闻而引发的全球用户关注的隐私问题。
强烈建议受影响用户尽快更改密码并清空浏览器历史。
如果用户尚未收到来自 Instagram 公司的任何通知,意味着用户账户和密码未受影响。如用户仍然担心账户的隐私和安全,也可考虑修改密码。
建议用户开启双因素认证机制并确保账户使用的是强密码且唯一。
麻烦不断
Facebook 最近解决了和“Views as”功能相关的一个更为严重的问题。该漏洞已遭未知黑客利用,3000万 Facebook 用户的机密访问令牌已被盗。
8月末,Instagram 修复了 API 中存在的另外一个严重缺陷,未知黑客已利用该漏洞获取对很多账户经验证的“高级别”用户的电话号码和邮件地址的访问权限。也是在8月,Instagram 被指遭大规模的黑客攻击,导致数百名用户账户、邮件地址、账户名称、资料图片被锁且密码遭修改。
推荐阅读
原文链接
https://thehackernews.com/2018/11/instagram-password-hack.html
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。