Un bug de Instagram deja al descubierto millones de contraseñas

Software

Instagram se está convirtiendo en la red social más popular después de que Facebook no pare de perder usuarios. Sin embargo, por grande que sea, una red social nunca va a ser inmune a bugs y fallos de seguridad, y el último de Instagram parece haber hecho que millones de contraseñas hayan quedado expuestas en texto plano y al alcance de hackers.

La función de descargar tus datos para cumplir con la RGPD tenía un grave fallo de seguridad

Así lo ha confirmado la propia compañía, que ya ha enviado emails a los usuarios afectados para que cambien su contraseña. El fallo parece estar relacionado con la función de “Ver datos de tu cuenta” que la compañía añadió en abril para cumplir con el RGPD de la Unión Europea, y que incluye una copia de todos los datos que recopila la red social, como los comentarios, fotos, publicaciones, etc.

instagram

Para evitar que una persona no autorizada pudiera descargar esos datos al encontrarse una sesión abierta en un ordenador o en un móvil robado, esta función te obligada a reintroducir la contraseña de la cuenta antes de poder descargar los datos. El problema es que las contraseñas aparecían en texto plano en la URL, además de quedar almacenadas en los servidores de Facebook.

El fallo fue descubierto por el equipo interno de Instagram, que ha confirmado que los datos almacenados han sido eliminados de los servidores de Facebook. El fallo ya ha sido resuelto, y afirman que sólo ha afectado a “un limitado número de personas”, aunque entre los afectados se encuentran todos los que hayan descargado los datos de su cuenta.

Instagram ha enviado ya un email a los usuarios afectados

Si has recibido un email de Instagram, es recomendable que cambies tu contraseña inmediatamente, así como tu historial de navegación para no dejar rastro de la URL que contenía tu contraseña. En el caso de que la reutilizases en otro servicio (algo que no debes hacer nunca), cámbiala también en ellos porque los atacantes irán probándola en distintos servicios.

En el caso de que no hayas recibido ningún email de Instagram no tienes nada de que preocuparte, ya que la compañía sólo está contactando a los usuarios que han descargado los datos de su cuenta. Aún así, si quieres asegurarte, puedes cambiar tu contraseña y activar la verificación en dos pasos para que nadie pueda cambiar la contraseña de tu cuenta y robártela.

Hace dos meses Facebook se vio afectado también por un fallo parecido, en el cual la función de “Ver cómo” del perfil contenía un fallo que permitía robar el token de acceso a una cuenta y suplantarla, afectando a más de 30 millones de usuarios. La propia Instagram tuvo un fallo de seguridad en una de sus API el pasado mes de agosto en el que hackers podían obtener acceso a direcciones de correo electrónico y números de teléfono, incluyendo los de grandes cuentas verificadas de famosos. Otro fallo parecido bloqueó las cuentas de cientos de usuarios, que vieron cómo se cambiaba el nombre, foto o contraseña.

Escrito por Alberto García

Fuente > The Hacker News