Ứng dụng chia sẻ ảnh thuộc sở hữu của Facebook đã thừa nhận sai sót này và đã thưởng cho một nhà nghiên cứu bảo mật 6.000 USD vì đã tìm ra lỗi nói trên.
Theo bản tin trên TechCrunch, nhà nghiên cứu Saugat Pokharel đã phát hiện ra lỗ hổng này khi tải xuống dữ liệu của mình từ ứng dụng chia sẻ ảnh Instagram. Dữ liệu bao gồm ảnh và tin nhắn riêng tư mà Saugat Pokharel đã xóa trước đó.
"Instagram đã không xóa dữ liệu của tôi ngay cả khi tôi đã xóa chúng khỏi tài khoản Instagram của mình", Saugat Pokharel cho biết. Khi nhận ra điều này, tháng 10/2019, Pokharel đã thông báo lỗi cho Instagram thông qua chương trình tiền thưởng phát hiện lỗi của Facebook và Instagram đã sửa lỗi trên vào thời điểm đầu tháng 8/2020, Pokharel cho biết.
Lỗ hổng đến từ đâu?
Lỗ hổng này nằm trong một tính năng mà Instagram đã ra mắt vào năm 2018 để đáp ứng Quy định chung về bảo vệ dữ liệu của châu Âu (GDPR), quy định này yêu cầu bất kỳ công ty nào hoạt động ở châu Âu đều phải thông báo cho nhà chức trách trong vòng 72 giờ sau khi xác nhận có vi phạm dữ liệu hoặc đối mặt với các hình phạt tài chính nghiêm trọng.
GDPR của Liên minh châu Âu, có hiệu lực vào ngày 25/5/2018, cũng có một điều khoản về dữ liệu di động, điều khoản này yêu cầu các công ty cấp cho tất cả người dùng quyền truy cập vào dữ liệu của mình. Tính năng của Instagram cho phép mọi người tải xuống dữ liệu của họ sau khi công ty mẹ Facebook cung cấp một tính năng tương tự cho nền tảng mạng xã hội lớn nhất thế giới Facebook.
Tuy nhiên, đây không phải là lần đầu tiên Instagram lưu dữ liệu của người dùng ngay cả khi họ đã xóa chúng. Năm ngoái, nhà nghiên cứu bảo mật Karan Saini đã thông báo rằng Instagram đã giữ các tin nhắn trực tiếp trong nhiều năm, ngay cả khi người dùng đã xóa chúng. Hơn nữa, Karan Saini nhận thấy rằng, Instagram cũng đã gửi dữ liệu đến và đi từ các tài khoản đã bị ngừng hoạt động và tạm ngưng hoạt động.
Người phát ngôn của Instagram đã xác nhận lỗi và sửa lỗi đó, và cho biết "không có bằng chứng về việc lạm dụng" lỗ hổng này, theo thông báo.
"Chúng tôi cảm ơn nhà nghiên cứu đã báo cáo vấn đề này cho chúng tôi," người phát ngôn nói với TechCrunch.
Nhiều vụ bê bối dữ liệu liên quan đến các mạng xã hội
Trên thực tế, Facebook đã từng bị chỉ trích nặng nề vì các hoạt động bảo mật của mình và thậm chí đã bị phạt 5 tỷ USD từ Ủy ban Thương mại Liên bang Mỹ (FTC) vì lỗi phổ biến dữ liệu mà không được sự cho phép của người dùng trong vụ bê bối dữ liệu Cambridge Analytica nổi tiếng vào năm 2018.
Twitter cũng vậy, họ đã gặp vấn đề về cách sử dụng dữ liệu thu thập được từ người dùng của mình. Công ty này đang có khả năng phải đối mặt với một khoản tiền phạt lên tới 250 triệu USD của FTC sau khi Twitter thừa nhận vào năm ngoái rằng, email và số điện thoại của người dùng đã được sử dụng cho các mục tiêu quảng cáo.
Trong khi đó, ứng dụng chia sẻ video nổi tiếng TikTok, thuộc sở hữu của công ty mẹ ByteDance có trụ sở tại Bắc Kinh, gần đây cũng đã thu hút nhiều sự quan tâm của công chúng về các vấn đề liên quan đến quyền riêng tư khi TikTok can thiệp sâu và thô bạo đến dữ liệu người dùng.
Ứng dụng này đã bị phát hiện thu thập các số nhận dạng duy nhất từ hàng triệu thiết bị chạy hệ điều hành Android mà người dùng không hề hay biết bằng cách sử dụng một chiến thuật bị Google cấm trước đây vì vi phạm quyền riêng tư. Các nhà nghiên cứu cho biết TikTok đã che giấu hoạt động này bằng cách sử dụng thêm một lớp mã hóa.
Tin tức này được đăng tải sau một phát hiện vào tháng 6, cho biết TikTok vẫn kiên trì đọc dữ liệu cắt và dán của người dùng trên iPhone của Apple ngay cả sau khi TikTok hứa rằng họ sẽ loại bỏ hành vi này vào tháng 3. Một nhà nghiên cứu bảo mật đã phát hiện ra ứng dụng chia sẻ video ngắn nổi tiếng tham gia vào hoạt động này vào tháng 2/2020.