Un chercheur en sécurité a reçu une prime de bogue de 6000 $ après avoir trouvé Instagram a conservé des photos et des messages privés privés sur ses serveurs longtemps après les avoir supprimés.

Le chercheur indépendant en sécurité Saugat Pokharel a découvert que lorsqu’il téléchargeait ses données d’Instagram, une fonctionnalité lancée en 2018 pour se conformer aux nouvelles règles européennes sur les données, ses données téléchargées contenaient des photos et des messages privés avec d’autres utilisateurs qu’il avait précédemment supprimés.

Il n’est pas rare pour les entreprises de stocker des données fraîchement supprimées pendant un certain temps jusqu’à ce qu’elles puissent être correctement nettoyées de leurs réseaux, systèmes et caches. Instagram a déclaré qu’il fallait environ 90 jours pour que les données supprimées soient complètement supprimées de ses systèmes.

Mais Pokharel a découvert que ses données prétendument supprimées d’il y a plus d’un an étaient toujours stockées sur les serveurs d’Instagram et pouvaient être téléchargées à l’aide de l’outil de téléchargement de données de l’entreprise.

« Instagram n’a pas supprimé mes données même lorsque je les ai supprimées de mon côté », a-t-il déclaré à TechCrunch.

Pokharel a signalé le bogue en octobre 2019 via le programme de primes aux bogues d’Instagram. Le bogue a été corrigé plus tôt ce mois-ci, a-t-il déclaré.

Un porte-parole d’Instagram a déclaré à TechCrunch: «Le chercheur a signalé un problème où les images et les messages Instagram supprimés d’une personne seraient inclus dans une copie de ses informations s’il utilisait notre outil de téléchargement de vos informations sur Instagram. Nous avons résolu le problème et n’avons vu aucune preuve d’abus. Nous remercions le chercheur de nous avoir signalé ce problème. »

C’est un problème presque identique que Twitter a résolu l’année dernière, dans lequel les utilisateurs pouvaient accéder aux messages directs supprimés depuis longtemps – y compris les messages envoyés vers et depuis des comptes suspendus et désactivés – à l’aide de son propre outil de téléchargement de données.