2018/11/18

Instagram expôs passwords de utilizadores no URL


Alguns utilizadores que recorreram à ferramenta que permite fazer o download de todos os seus conteúdos no Instagram foram surpreendidos por verem a sua password exposta no URL que lhes foi enviado.

Esse erro seria inaceitável em qualquer serviço, mas torna-se particularmente perturbador ao nos chegar do Instagram / Facebook, que têm plena consciência das regras básicas de segurança digital, onde a mais importante é exactamente a de nunca - mas nunca - guardar a password dos utilizadores, guardando apenas as suas hashes "salteadas".



Vai ser interessante ouvir a explicação do Instagram / Facebook quanto ao motivo que pelo qual eles estão a guardar as passwords dos utilizadores em "plain text"(ou forma reversível), sendo que na verdade não há explicação possível que possa desculpar essa situação. Ainda mais quando nos lembramos que há mais de meia década atrás, o Facebook já dizia ter preocupações especiais com as passwords, de modo a permitir o login com algumas variantes das passwords com Caps Lock.

Considerando a recente vaga de incidentes com o Facebook, falhas de segurança como esta em nada contribuem para melhorar a sua imagem...

3 comentários:

[pub]