El problema reside en la nueva opción para descargar el histórico de la actividad de los usuarios, que almacenaba la contraseña en texto plano en los servidores de Facebook. Este histórico contiene (entre otra información) fotografías, comentarios, posts y en definitiva toda la actividad que el usuario genera dentro de la red social.
Recordemos que esta nueva funcionalidad es obligatoria para cumplir con la normativa Europea que regula la privacidad de los usuarios; la GDPR (General Data Protection Regulation), que fue implantada tras el escándalo de Cambridge Analytica.
Para prevenir accesos no autorizados a la descarga de dicho histórico, Instagram pide antes confirmación de la credencial de acceso del usuario. Sin embargo, las contraseñas en texto plano quedaban incluidas en la URL y posteriormente se almacenaban en los servidores de Facebook debido a un fallo de seguridad. Este problema fue descubierto por el propio equipo de Instagram.
La compañía ha solucionado el problema con rapidez y a través de un comunicado esclarecen que las contraseñas ya se han borrado de los servidores de Facebook. Posteriormente se comenzó a notificar a los usuarios afectados para que cambien sus contraseñas a la mayor brevedad posible, borren la caché del navegador y habiliten la verificación en dos pasos. Este incidente, según el equipo de Instagram ha afectado a un número muy pequeño de usuarios.
Esta falla se suma a la ya ocurrida a finales de agosto, donde se corrigieron fallos importantes en la API de la red social que permitió a atacantes (aún desconocidos) conocer los correos electrónicos y números de teléfono de usuarios famosos de alto perfil.
Fuente: Segu-info.com.ar
